Autenticazione a più fattori (MFA) per IAM

L' autenticazione a più fattori (MFA) AWS è una best practice di AWS Identity and Access Management (IAM) che richiede un secondo fattore di autenticazione in aggiunta alle credenziali di accesso nome utente e password. È possibile attivare la MFA a livello di account AWS e per gli utenti root e IAM creati nell'account. 
 
AWS sta ampliando l'idoneità per il proprio programma gratuito di chiavi di sicurezza per la MFA. Verifica la tua idoneità e ordina la tua chiave MFA gratuita.
 
Con la MFA abilitata, quanto un utente accede alla Console di gestione AWS, gli vengono richiesti nome utente e password ( qualcosa che conosce) e un codice di autenticazione dal proprio dispositivo MFA ( qualcosa che possiede, oppure qualcosa della sua persona se ha abilitato un autenticatore con biometria). Presi insieme, questi fattori migliorano la sicurezza dei tuoi account e delle tue risorse AWS.
 
Ti consigliamo di richiedere agli utenti umani di utilizzare credenziali temporanee per accedere ad AWS. Gli utenti possono utilizzare un provider di identità per eseguire la federazione in AWS, dove autenticarsi con le credenziali aziendali e le configurazioni MFA. Per gestire l'accesso ad AWS e alle applicazioni aziendali, ti consigliamo di utilizzare il Centro identità AWS IAM. Per ulteriori informazioni, consulta il Manuale dell'utente del Centro identità IAM.
 
Consulta le seguenti opzioni MFA disponibili utilizzabili con la tua implementazione MFA IAM. Scarica app di autenticazione virtuale tramite i link forniti, oppure acquisisci un dispositivo MFA hardware dal rispettivo produttore. Dopo aver acquisito un dispositivo MFA virtuale o hardware supportato, AWS non addebita costi aggiuntivi per l'utilizzo della MFA.

Metodi MFA disponibili per IAM

Gestisci i dispositivi MFA nella console IAM. Le seguenti opzioni sono i metodi MFA supportati da IAM.

Chiavi di sicurezza FIDO

Le chiavi di sicurezza hardware certificate FIDO sono fornite da provider di terze parti come Yubico. La FIDO Alliance mantiene un elenco di tutti i prodotti certificati FIDO compatibili con le specifiche FIDO. Gli standard di autenticazione FIDO si basano sulla crittografia della chiave pubblica, che consente un'autenticazione forte, resistente al phishing e più sicura delle password. Le chiavi di sicurezza FIDO supportano più account root e utenti IAM utilizzando un'unica chiave di sicurezza. Gli autenticatori virtuali sono supportati per gli utenti IAM nelle Regioni AWS GovCloud (Stati Uniti) e in altre Regioni AWS. Per ulteriori informazioni sull'attivazione delle chiavi di sicurezza FIDO, consulta Abilitazione di una chiave di sicurezza FIDO.

AWS offre una chiave di sicurezza MFA gratuita ai titolari di account AWS idonei negli Stati Uniti. Per determinare l'idoneità e ordinare una chiave, vedi la console della Centrale di sicurezza.

Icona della chiave di sicurezza

App di autenticazione virtuale

Le app di autenticazione virtuale implementano l'algoritmo di password monouso e supportano più token su un singolo dispositivo. Gli autenticatori virtuali sono supportati per gli utenti IAM nelle Regioni AWS GovCloud (Stati Uniti) e in altre Regioni AWS. Per ulteriori informazioni sull'abilitazione di autenticatori virtuali, consulta Abilitazione di un dispositivo di autenticazione a più fattori (MFA) virtuale.

È possibile installare app per il tuo smartphone dallo store di app specifico del tuo tipo di dispositivo. Alcuni provider di app dispongono anche di applicazioni Web e desktop. Vedi la tabella di seguito per gli esempi.

 Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
 iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
Icona dell'app di autenticazione virtuale

Token TOTP hardware

I token hardware supportano anche l'algoritmo di password monouso e sono forniti da Thales, un provider di terze parti. Questi token possono essere utilizzati esclusivamente con gli account AWS. Per ulteriori informazioni, consulta Abilitazione di un dispositivo MFA hardware.

Per garantire la compatibilità con AWS, devi acquistare i token MFA tramite i link in questa pagina. I token acquistati da altre fonti potrebbero non funzionare con IAM perché AWS richiede "token seed" unici, chiavi segrete generate al momento della produzione dei token. Solo i token acquistati tramite i link in questa pagina hanno i relativi token seed condivisi in modo sicuro con AWS. I token MFA sono offerti in due forme: il token OTP e la scheda display OTP.

Token TOTP hardware monouso per le Regioni AWS GovCloud (Stati Uniti)

I token TOTP hardware sono compatibili con le Regioni AWS GovCloud (Stati Uniti) e sono forniti da Hypersecu, un provider di terze parti. Questi token possono essere utilizzati esclusivamente dagli utenti IAM con account AWS GovCloud (Stati Uniti).

Per garantire la compatibilità con AWS, devi acquistare i token MFA tramite i link in questa pagina. I token acquistati da altre fonti potrebbero non funzionare con IAM perché AWS richiede "token seed" unici, chiavi segrete generate al momento della produzione dei token. Solo i token acquistati tramite i link in questa pagina hanno i relativi token seed condivisi in modo sicuro con AWS. I token MFA sono offerti nel formato token OTP.

Icona del token hardware password monouso

Scopri come iniziare a usare AWS IAM

Visita la pagina sulle nozioni di base
Tutto pronto per cominciare?
Inizia a usare AWS IAM
Hai altre domande?
Contattaci