Многофакторная аутентификация (MFA) для IAM

Что такое MFA?

Многофакторная аутентификация AWS (MFA) – это передовая технология, используемая в Управлении идентификацией и доступом AWS (IAM). Она применяет для входа в систему, помимо имени пользователя и пароля, дополнительный фактор аутентификации. Вы можете настроить MFA на уровне аккаунта AWS для привилегированного пользователя и любых пользователей IAM, созданных в этом аккаунте.  
 
AWS смягчает условия для участия в программе бесплатных ключей безопасности MFA. Подтвердите, что вы соответствуете требованиям и закажите бесплатный ключ MFA.
 
После настройки MFA при входе в Консоль управления AWS пользователь увидит предложение ввести имя пользователя и пароль ( то, что он знает), а также код аутентификации с устройства MFA ( то, что у него есть) или применить аутентификатор с поддержкой биометрии ( то, чем он является). В совокупности эти факторы повышают безопасность вашей учетной записи и ресурсов AWS.
 
Рекомендуем обязать пользователей-людей применять временные учетные данные для входа в AWS. Ваши пользователи могут применить поставщик идентификации для интеграции в AWS, где они смогут пройти аутентификацию, используя свои корпоративные учетные данные и конфигурации MFA. Для управления доступом к AWS и бизнес-приложениям мы рекомендуем использовать Центр идентификации AWS IAM. Дополнительные сведения см. в руководстве пользователя по Центру идентификации IAM.
 
Ознакомьтесь со следующими доступными опциями MFA, которые можно использовать при внедрении IAM MFA. Вы можете загрузить приложения для виртуальной аутентификации по предоставленным ссылкам или приобрести аппаратное устройство MFA у соответствующего производителя. Для использования MFA необходимо приобрести поддерживаемое аппаратное или виртуальное устройство MFA. Дополнительная плата не взимается.

Доступные методы аутентификации MFA для IAM

Управлять устройствами для MFA можно в консоли IAM. Ниже перечислены методы аутентификации MFA, которые поддерживаются IAM.

Пароли и ключи безопасности

Пароли и ключи безопасности, сгенерированные на основе стандартов FIDO, обеспечивают более простой и безопасный вход в систему на всех устройствах пользователя. Стандарты аутентификации FIDO основаны на криптографии с открытым ключом, которая обеспечивает надежную, устойчивую к фишингу аутентификацию, что безопаснее, чем пароли. Ключи доступа создаются выбранным вами поставщиком паролей, таким как iCloud Keychain, Google Password Manager, 1Password или Dashlane, с использованием отпечатка пальца, лица или PIN-кода устройства, и синхронизируются на всех ваших устройствах для входа в AWS. Кроме того, клиенты использовать привязанные к устройству ключи доступа, также известные как ключи безопасности, предоставляемые сторонними поставщиками, такими как Yubico. FIDO Alliance поддерживает полный список сертифицированных FIDO продуктов, то есть совместимых со спецификациями FIDO. Ключи безопасности FIDO поддерживают несколько аккаунтов привилегированных пользователей, а также пользователей IAM, использующих один ключ безопасности. Пароли и ключи безопасности поддерживаются для привилегированных пользователей и пользователей IAM во всех регионах AWS, кроме региона AWS (Китай (Пекин)), управляемого компанией Sinnet, и региона AWS (Нинся), которым управляет NWCD. Дополнительные сведения о настройке ключей безопасности FIDO см. в разделе о настройке ключа доступа или ключа безопасности.

AWS предлагает защищенный ключ безопасности MFA для соответствующих критериям владельцев аккаунтов AWS в США. Чтобы проверить, есть ли у вас возможность получить ключ, и заказать его, откройте консоль Центра безопасности.

Приложения для виртуальной аутентификации

Приложения для виртуальной аутентификации реализуют алгоритм одноразового пароля на основе времени (TOTP) и поддерживают несколько токенов на одном устройстве. Виртуальные аутентификаторы поддерживаются для пользователей IAM в регионах AWS GovCloud (США) и в других регионах AWS. Дополнительные сведения о включении виртуальных аутентификаторов см. в разделе Включение устройства виртуальной многофакторной аутентификации (MFA).

Вы можете установить приложения для своего смартфона в магазине приложений, соответствующие вашему типу телефона. Некоторые поставщики приложений также предлагают веб-приложения и приложения для настольных компьютеров. Подробнее см. таблицу ниже.

Android Аутентификатор Twilio Authyмобильный телефон Duoаутентификатор Microsoftаутентификатор GoogleSymantec VIP
iOS Аутентификатор Twilio Authyмобильный телефон Duoаутентификатор Microsoftаутентификатор GoogleSymantec VIP

Аппаратные токены TOTP

Аппаратные токены также поддерживают алгоритм TOTP. Они предоставляются сторонним поставщиком Thales. Данные токены предназначены исключительно для использования с учетными записями AWS. Дополнительные сведения см. в разделе Включение аппаратного устройства MFA.

Чтобы обеспечить совместимость с AWS, вы должны приобрести токены MFA по ссылкам на этой странице. Токены, приобретенные из других источников, могут не работать с IAM, поскольку AWS требует уникальных «семян токенов» – секретных ключей, генерируемых во время выпуска токенов. Семена токенов безопасно передаются AWS только для токенов, приобретенных по ссылкам на этой странице. Токены MFA предлагаются в двух формах: токен OTP и дисплейная карта OTP.

Аппаратные токены TOTP для регионов AWS GovCloud (США)

Аппаратные токены TOTP совместимы с регионами AWS GovCloud (США). Они предоставляются сторонним поставщиком Hypersecu. Данные токены предназначены исключительно для пользователей IAM с аккаунтами AWS GovCloud (США).

Чтобы обеспечить совместимость с AWS, вы должны приобрести токены MFA по ссылкам на этой странице. Токены, приобретенные из других источников, могут не работать с IAM, поскольку AWS требует уникальных «семян токенов» – секретных ключей, генерируемых во время выпуска токенов. Семена токенов безопасно передаются AWS только для токенов, приобретенных по ссылкам на этой странице. Токены MFA предлагаются в формате токенов OTP.