Configurazioni supportate per l'utilizzo di chiavi di accesso e chiavi di sicurezza - AWS Identity and Access Management
Dispositivi FIDO2 supportati da AWSBrowser che supportano FIDO2Certificazioni dei dispositiviAWS CLI e AWS APIRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazioni supportate per l'utilizzo di chiavi di accesso e chiavi di sicurezza

È possibile utilizzare le passkey FIDO2 legate al dispositivo, note anche come chiavi di sicurezza, come metodo di autenticazione a più fattori (MFA) con IAM utilizzando le configurazioni attualmente supportate. Questi includono i dispositivi FIDO2 supportati da IAM e i browser che supportano FIDO2. Prima di registrare il dispositivo FIDO2, verifica di utilizzare la versione più recente del browser e del sistema operativo (OS). Le funzionalità possono comportarsi in modo diverso tra browser, autenticatori e client del sistema operativo. Se la registrazione del dispositivo non riesce su un browser, puoi provare a registrarti con un altro browser.

FIDO2 è uno standard di autenticazione aperto e un'estensione di FIDO U2F che offre lo stesso livello elevato di sicurezza basato sulla crittografia a chiave pubblica. FIDO2 è costituito dalla specifica di autenticazione Web (WebAuthn API) del W3C e dal protocollo FIDO Alliance Client-to-Authenticator (CTAP), un protocollo a livello di applicazione. CTAP consente la comunicazione tra client o piattaforma, come un browser o un sistema operativo, con un autenticatore esterno. Quando abiliti un autenticatore certificato FIDO AWS, la chiave di sicurezza crea una nuova coppia di chiavi da utilizzare solo con. AWS In primo luogo, è necessario immettere le credenziali. Quando richiesto, tocchi la chiave di sicurezza, che risponde alla sfida di autenticazione emessa da. AWS Per ulteriori informazioni sullo standard FIDO2, consulta la pagina Progetto FIDO2.

Dispositivi FIDO2 supportati da AWS

IAM supporta i dispositivi di sicurezza FIDO2 che si connettono ai tuoi dispositivi tramite USB, Bluetooth o NFC. IAM supporta anche autenticatori di piattaforme come TouchID o FaceID. IAM non supporta la registrazione locale delle passkey per Windows Hello. Per creare e utilizzare le passkey, gli utenti Windows devono utilizzare l'autenticazione tra dispositivi, che prevede l'utilizzo di una passkey di un dispositivo, ad esempio un dispositivo mobile, o di una chiave di sicurezza hardware per accedere su un altro dispositivo, ad esempio un laptop.

Nota

AWS richiede l'accesso alla porta USB fisica del computer per verificare il dispositivo FIDO2. Le chiavi di sicurezza non funzionano con una macchina virtuale, una connessione remota o la modalità di navigazione in incognito di un browser.

FIDO Alliance mantiene un elenco di tutti i prodotti FIDO2 compatibili con le specifiche FIDO.

Browser che supportano FIDO2

La disponibilità dei dispositivi di sicurezza FIDO2 che funzionano in un browser Web dipende dalla combinazione di browser e sistema operativo. I seguenti browser attualmente supportano l'uso delle chiavi di sicurezza:

macOS 10.15+ Windows 10 Linux iOS 14.5+ Android 7+
Chrome No
Safari No No No
Edge No No
Firefox No No
Nota

La maggior parte delle versioni di Firefox che attualmente supportano FIDO2 non abilitano il supporto per impostazione predefinita. Per istruzioni su come abilitare il supporto FIDO2 in Firefox, consulta. Risoluzione dei problemi relativi alle chiavi di sicurezza FIDO

Per ulteriori informazioni sul supporto del browser per un dispositivo certificato FIDO2, ad esempio YubiKey, vedi Supporto del sistema operativo e del browser web per FIDO2 e U2F.

Plug-in del browser

AWS supporta solo i browser che supportano nativamente FIDO2. AWS non supporta l'utilizzo di plugin per aggiungere il supporto per il browser FIDO2. Alcuni plugin del browser non sono compatibili con lo standard FIDO2 e possono causare risultati imprevisti con le chiavi di sicurezza FIDO2.

Per informazioni su come disabilitare i plug-in del browser e altri suggerimenti per la risoluzione dei problemi, consulta Non riesco ad abilitare la chiave di sicurezza FIDO.

Certificazioni dei dispositivi

Acquisiamo e assegniamo le certificazioni relative ai dispositivi, come la convalida FIPS e il livello di certificazione FIDO, solo durante la registrazione di una chiave di sicurezza. La certificazione del dispositivo viene recuperata dal FIDO Alliance Metadata Service (MDS). Se lo stato o il livello di certificazione della chiave di sicurezza cambia, ciò non si rifletterà automaticamente nei tag del dispositivo. Per aggiornare le informazioni di certificazione di un dispositivo, è necessario registrarlo nuovamente per recuperare le informazioni di certificazione aggiornate.

AWS fornisce i seguenti tipi di certificazione come chiavi di condizione durante la registrazione del dispositivo, ottenute da FIDO MDS: livelli di certificazione FIDO, FIPS-140-2 e FIPS-140-3. Hai la possibilità di specificare la registrazione di autenticatori specifici nelle loro policy IAM, in base al tipo e al livello di certificazione che preferisci. Per ulteriori informazioni, consulta le policy seguenti.

Policy di esempio per le certificazioni dei dispositivi

I seguenti casi d'uso mostrano policy di esempio che consentono di registrare i dispositivi MFA con certificazioni FIPS.

Caso d'uso 1: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}

Caso d'uso 2: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2 o FIDO L1

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}

Caso d'uso 3: consentire la registrazione di dispositivi con certificazioni FIPS-140-2 L2 o FIPS-140-3 L2

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}

Caso d'uso 4: consenti la registrazione di dispositivi con certificazione FIPS-140-2 L2 e che supportano altri tipi di autenticazione a più fattori, come autenticatori virtuali e hardware TOTP

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Activate",
                    "iam:FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iam:RegisterSecurityKey": "true"
                }
            }
        }
    ]
}

AWS CLI e AWS API

AWS supporta l'utilizzo di chiavi di accesso e chiavi di sicurezza solo in. AWS Management Console L'utilizzo di passkey e chiavi di sicurezza per MFA non è supportato nell'API AWS and o per AWS CLIl'accesso a operazioni API protette da MFA.

Risorse aggiuntive