Authentification multifactorielle (MFA) pour IAM
Méthodes MFA disponibles pour IAM
Vous pouvez gérer vos appareils MFA dans la console IAM. IAM prend en charge les méthodes MFA ci-dessous.
Clés de sécurité FIDO
Les clés de sécurité matérielle certifiées FIDO sont fournies par des fournisseurs tiers tels que Yubico. L'Alliance FIDO tient à jour une liste de tous les produits certifiés FIDO qui sont compatibles avec les spécifications FIDO. Les normes d'authentification FIDO sont basées sur la cryptographie à clé publique, qui permet une authentification forte et résistante à l'hameçonnage qui est plus sûre que les mots de passe. Une seule clé de sécurité FIDO peut prendre en charge plusieurs comptes root et utilisateurs IAM. Les clés de sécurité FIDO sont prises en charge pour les utilisateurs IAM dans les régions AWS GovCloud (US) et dans d'autres régions AWS. Pour plus d'informations sur l'activation des clés de sécurité FIDO, consultez Activation d'une clé de sécurité FIDO (console).
AWS propose une clé de sécurité MFA gratuite aux titulaires de comptes AWS admissibles aux États-Unis. Pour connaître votre admissibilité et commander une clé, consultez la console Security Hub.
Applications d'authentification virtuelle
Les applications d'authentification virtuelle utilisent l'algorithme de mot de passe unique à durée limitée (TOTP) et prennent en charge plusieurs jetons sur un seul appareil. Les authentificateurs virtuels sont pris en charge pour les utilisateurs IAM dans les régions AWS GovCloud (US) et dans d'autres régions AWS. Pour plus d'informations sur l'activation des authentificateurs virtuels, consultez Activation d'un appareil à authentification multifactorielle (MFA) virtuel (console).
Vous pouvez installer des applications pour smartphone à partir du magasin d'applications correspondant à votre type de smartphone. Certains fournisseurs d'applications proposent également des applications Web et de bureau. Vous trouverez des exemples dans le tableau suivant.
Jetons TOTP matériels
Les jetons matériels prennent également en charge l'algorithme TOTP et sont fournis par Thales, un fournisseur tiers. Ces jetons sont conçus exclusivement pour une utilisation avec les comptes AWS. Pour plus d'informations, consultez Activation d'un jeton TOTP matériel (console).
Pour garantir la compatibilité avec AWS, vous devez acheter vos jetons MFA via les liens de cette page. Les jetons achetés auprès d'autres sources peuvent ne pas fonctionner avec IAM car AWS nécessite des « graines de jetons » uniques, des clés secrètes générées au moment de la production des jetons. Seuls les jetons achetés via les liens de cette page voient leurs graines de jetons partagées de manière sécurisée avec AWS. Les jetons MFA sont proposés sous deux formes : le jeton OTP et la carte d'affichage OTP.
Jetons matériels TOTP pour les régions AWS GovCloud (US)
Les jetons matériels TOTP sont compatibles avec les régions AWS GovCloud (US) et sont fournis par Hypersecu, un fournisseur tiers. Ces jetons sont conçus exclusivement pour les utilisateurs IAM disposant de comptes AWS GovCloud (US).
Pour garantir la compatibilité avec AWS, vous devez acheter vos jetons MFA via les liens de cette page. Les jetons achetés auprès d'autres sources peuvent ne pas fonctionner avec IAM car AWS nécessite des « graines de jetons » uniques, des clés secrètes générées au moment de la production des jetons. Seuls les jetons achetés via les liens de cette page voient leurs graines de jetons partagées de manière sécurisée avec AWS. Les jetons MFA sont proposés au format de jeton OTP.
Découvrez comment démarrer avec AWS IAM