Multi-Faktor-Authentifizierung (MFA) für IAM

Die AWS-Multi-Faktor-Authentifizierung (MFA) ist eine bewährte Methode für AWS Identity and Access Management (IAM) , die zusätzlich zu den Anmeldeinformationen von Benutzername und Passwort einen zweiten Authentifizierungsfaktor erfordert. Sie können MFA auf AWS-Kontoebene sowie für Root- und IAM-Benutzer aktivieren, die Sie in Ihrem Konto erstellt haben.  
 
AWS erweitert die Teilnahmevoraussetzungen für sein kostenloses MFA-Sicherheitsschlüsselprogramm. Überprüfen Sie Ihre Berechtigung und bestellen Sie Ihren kostenlosen MFA-Schlüssel.
 
Wenn MFA aktiviert ist, wird ein Benutzer bei der Anmeldung an der AWS-Managementkonsole aufgefordert, den Benutzernamen und das Passwort einzugeben – etwas, das der Benutzer kennt – und einen Authentifizierungscode von seinem MFA-Gerät – etwas, das der Benutzer besitzt (oder, wenn ein biometrisch aktivierter Authentifikator verwendet wird, etwas, das der Benutzer ist). Zusammengenommen verbessern diese Faktoren die Sicherheit Ihrer AWS-Konten und -Ressourcen.
 
Wir empfehlen Ihnen, von Ihren menschlichen Benutzern die Verwendung temporärer Anmeldeinformationen beim Zugriff auf AWS zu verlangen. Ihre Benutzer können einen Identitätsanbieter verwenden, um eine Verbindung zu AWS herzustellen, wo sie sich mit den Anmeldeinformationen ihres Unternehmens und MFA-Konfigurationen authentifizieren können. Um den Zugriff auf AWS und Geschäftsanwendungen zu verwalten, empfehlen wir die Verwendung von AWS IAM Identity Center. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.
 
Sehen Sie sich die folgenden verfügbaren MFA-Optionen an, die Sie mit Ihrer IAM-MFA-Implementierung verwenden können. Sie können virtuelle Authentifizierungs-Apps über die bereitgestellten Links herunterladen oder ein Hardware-MFA-Gerät vom jeweiligen Hersteller erwerben. Nachdem Sie ein unterstütztes virtuelles oder Hardware-MFA-Gerät erworben haben, erhebt AWS keine zusätzlichen Gebühren für die Nutzung von MFA.

Verfügbare MFA-Methoden für IAM

Sie können Ihre MFA-Geräte in der IAM-Konsole verwalten. Die folgenden Optionen sind die MFA-Methoden, die IAM unterstützt.

FIDO-Sicherheitsschlüssel

FIDO-zertifizierte Hardware-Sicherheitsschlüssel werden von Drittanbietern wie Yubico bereitgestellt. Die FIDO Alliance führt eine Liste aller FIDO-zertifizierten Produkte, die mit den FIDO-Spezifikationen kompatibel sind. Die FIDO-Authentifizierungsstandards basieren auf der Kryptographie mit öffentlichen Schlüsseln, die eine starke, Phishing-resistente Authentifizierung ermöglicht, welche sicherer ist als Passwörter. FIDO-Sicherheitsschlüssel unterstützen mehrere Root-Konten und IAM-Benutzer, die einen einzelnen Sicherheitsschlüssel verwenden. FIDO-Sicherheitsschlüssel werden für IAM-Benutzer in den AWS GovCloud (USA)-Regionen und in anderen AWS-Regionen unterstützt. Weitere Informationen zur Aktivierung von FIDO-Sicherheitsschlüsseln finden Sie unter Aktivieren eines FIDO-Sicherheitsschlüssels.

AWS bietet berechtigten AWS-Kontoinhabern in den USA einen kostenlosen MFA-Sicherheitsschlüssel an. Informationen zur Bestimmung der Berechtigung und zum Bestellen eines Schlüssels finden Sie in der Security-Hub-Konsole.

Symbol für Sicherheitsschlüssel

Virtuelle Authentifizierungs-Apps

Virtuelle Authentifizierungs-Apps implementieren den TOTP-Algorithmus (Time-Based One-Time Password) und unterstützen mehrere Token auf einem einzigen Gerät. Virtuelle Authentifikatoren werden für IAM-Benutzer in den Regionen AWS GovCloud (USA) und anderen AWS-Regionen unterstützt. Weitere Informationen zur Aktivierung virtueller Authentifikatoren finden Sie unter Aktivieren eines Geräts für virtuelle Multi-Faktor-Authentifizierung (MFA).

Sie können Apps für Ihr Smartphone aus dem für Ihren Smartphone-Typ spezifischen App-Store installieren. Einige App-Anbieter bieten auch Web- und Desktop-Anwendungen an. Beispiele finden Sie in der folgenden Tabelle.

 Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
 iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
Symbol für virtuelle Authentifizierungs-App

Hardware-TOTP-Token

Hardware-Token unterstützen auch den TOTP-Algorithmus und werden von Thales, einem Drittanbieter, bereitgestellt. Diese Token sind ausschließlich zur Verwendung mit AWS-Konten bestimmt. Weitere Informationen finden Sie unter Aktivieren eines Hardware-MFA-Geräts.

Um die Kompatibilität mit AWS sicherzustellen, müssen Sie Ihre MFA-Token über die Links auf dieser Seite erwerben. Token, die aus anderen Quellen gekauft wurden, funktionieren möglicherweise nicht mit IAM, da AWS eindeutige „Token-Seeds“ benötigt, geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Nur Token-Seeds, die über die Links auf dieser Seite gekauft wurden, werden sicher mit AWS geteilt. Die MFA-Token werden in zwei Formen angeboten: als OTP-Token und als OTP-Displaykarte.

Hardware-TOTP-Token für die Regionen AWS GovCloud (USA)

Hardware-TOTP-Token sind mit den Regionen AWS GovCloud (USA) kompatibel und werden von Hypersecu, einem Drittanbieter, bereitgestellt. Diese Token dürfen ausschließlich von IAM-Benutzern mit AWS GovCloud (USA)-Konten verwendet werden.

Um die Kompatibilität mit AWS sicherzustellen, müssen Sie Ihre MFA-Token über die Links auf dieser Seite erwerben. Token, die aus anderen Quellen gekauft wurden, funktionieren möglicherweise nicht mit IAM, da AWS eindeutige „Token-Seeds“ benötigt, geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Nur Token-Seeds, die über die Links auf dieser Seite gekauft wurden, werden sicher mit AWS geteilt. Die MFA-Token werden im OTP-Token-Format angeboten.

Symbol für TOTP-Hardware-Token

Mehr über die ersten Schritte mit AWS IAM erfahren

Seite "Erste Schritte" besuchen
Bereit zum Entwickeln?
Erste Schritte mit AWS IAM
Haben Sie noch Fragen?
Kontakt