Authentification multifactorielle (MFA) pour IAM

L' authentification multifactorielle (MFA) AWS est une bonne pratique d' AWS Identity and Access Management (IAM) qui nécessite un deuxième facteur d'authentification en plus des informations d'identification (nom d'utilisateur et mot de passe). Vous pouvez activer la MFA au niveau du compte AWS pour les utilisateurs IAM et root que vous avez créés dans votre compte.  
 
AWS étend l'admissibilité à son programme de clés de sécurité MFA gratuites. Vérifiez votre admissibilité et commandez votre clé MFA gratuite.
 
Lorsque la MFA est activée, tout utilisateur qui se connecte à la Console de gestion AWS est invité à saisir son nom d'utilisateur et son mot de passe, des facteurs qui relèvent de sa connaissance, ainsi qu'un code d'authentification provenant de son appareil MFA, un facteur qui relève de sa propriété (ou s'il utilise un authentificateur biométrique, un facteur qui relève de sa propre personne). Ensemble, ces facteurs améliorent la sécurité de vos comptes et de vos ressources AWS.
 
Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lorsqu'ils accèdent à AWS. Vos utilisateurs peuvent utiliser un fournisseur d'identité pour se fédérer dans AWS, où ils peuvent s'authentifier à l'aide de leurs informations d'identification d'entreprise et de leurs configurations MFA. Pour gérer l'accès à AWS et aux applications métier, nous vous recommandons d'utiliser AWS IAM Identity Center. Pour plus d'informations, consultez le guide de l'utilisateur d'IAM Identity Center.
 
Vous trouverez ci-dessous les options MFA disponibles que vous pouvez utiliser avec la mise en œuvre de la MFA IAM. Vous pouvez télécharger des applications d'authentification virtuelle via les liens fournis ou vous procurer un appareil MFA matériel auprès du fabricant concerné. Une fois que vous avez obtenu un appareil MFA matériel ou virtuel pris en charge, AWS ne facture aucuns frais supplémentaires pour l'utilisation de la MFA.

Méthodes MFA disponibles pour IAM

Vous pouvez gérer vos appareils MFA dans la console IAM. IAM prend en charge les méthodes MFA ci-dessous.

Clés de sécurité FIDO

Les clés de sécurité matérielle certifiées FIDO sont fournies par des fournisseurs tiers tels que Yubico. L'Alliance FIDO tient à jour une liste de tous les produits certifiés FIDO  qui sont compatibles avec les spécifications FIDO. Les normes d'authentification FIDO sont basées sur la cryptographie à clé publique, qui permet une authentification forte et résistante à l'hameçonnage qui est plus sûre que les mots de passe. Une seule clé de sécurité FIDO peut prendre en charge plusieurs comptes root et utilisateurs IAM. Les clés de sécurité FIDO sont prises en charge pour les utilisateurs IAM dans les régions AWS GovCloud (US) et dans d'autres régions AWS. Pour plus d'informations sur l'activation des clés de sécurité FIDO, consultez Activation d'une clé de sécurité FIDO (console).

AWS propose une clé de sécurité MFA gratuite aux titulaires de comptes AWS admissibles aux États-Unis. Pour connaître votre admissibilité et commander une clé, consultez la console Security Hub.

Icône de clé de sécurité

Applications d'authentification virtuelle

Les applications d'authentification virtuelle utilisent l'algorithme de mot de passe unique à durée limitée (TOTP) et prennent en charge plusieurs jetons sur un seul appareil. Les authentificateurs virtuels sont pris en charge pour les utilisateurs IAM dans les régions AWS GovCloud (US) et dans d'autres régions AWS. Pour plus d'informations sur l'activation des authentificateurs virtuels, consultez Activation d'un appareil à authentification multifactorielle (MFA) virtuel (console).

Vous pouvez installer des applications pour smartphone à partir du magasin d'applications correspondant à votre type de smartphone. Certains fournisseurs d'applications proposent également des applications Web et de bureau. Vous trouverez des exemples dans le tableau suivant.

Icône d'application d'authentification virtuelle

Jetons TOTP matériels

Les jetons matériels prennent également en charge l'algorithme TOTP et sont fournis par Thales, un fournisseur tiers. Ces jetons sont conçus exclusivement pour une utilisation avec les comptes AWS. Pour plus d'informations, consultez Activation d'un jeton TOTP matériel (console).

Pour garantir la compatibilité avec AWS, vous devez acheter vos jetons MFA via les liens de cette page. Les jetons achetés auprès d'autres sources peuvent ne pas fonctionner avec IAM car AWS nécessite des « graines de jetons » uniques, des clés secrètes générées au moment de la production des jetons. Seuls les jetons achetés via les liens de cette page voient leurs graines de jetons partagées de manière sécurisée avec AWS. Les jetons MFA sont proposés sous deux formes : le jeton OTP et la carte d'affichage OTP.

Jetons matériels TOTP pour les régions AWS GovCloud (US)

Les jetons matériels TOTP sont compatibles avec les régions AWS GovCloud (US) et sont fournis par Hypersecu, un fournisseur tiers. Ces jetons sont conçus exclusivement pour les utilisateurs IAM disposant de comptes AWS GovCloud (US).

Pour garantir la compatibilité avec AWS, vous devez acheter vos jetons MFA via les liens de cette page. Les jetons achetés auprès d'autres sources peuvent ne pas fonctionner avec IAM car AWS nécessite des « graines de jetons » uniques, des clés secrètes générées au moment de la production des jetons. Seuls les jetons achetés via les liens de cette page voient leurs graines de jetons partagées de manière sécurisée avec AWS. Les jetons MFA sont proposés au format de jeton OTP.

Icône de jeton matériel TOTP

Découvrez comment démarrer avec AWS IAM

Visitez la page de démarrage
Prêt à concevoir ?
Démarrer avec AWS IAM
D'autres questions ?
Contactez-nous