Многофакторная аутентификация (MFA) для IAM
Доступные методы аутентификации MFA для IAM
Управлять устройствами MFA можно в консоли IAM. Ниже перечислены методы аутентификации MFA, которые поддерживаются IAM.
Ключи безопасности FIDO
Сертифицированные FIDO аппаратные ключи безопасности предоставляются сторонними поставщиками, такими как Yubico. FIDO Alliance ведет список всех сертифицированных FIDO продуктов , совместимых со спецификациями FIDO. Стандарты аутентификации FIDO основаны на криптографии с открытым ключом, которая обеспечивает надежную, устойчивую к фишингу аутентификацию, что безопаснее, чем пароли. Ключи безопасности FIDO поддерживают несколько учетных записей привилегированных пользователей, а также пользователей IAM, использующих один ключ безопасности. Ключи безопасности FIDO поддерживаются пользователями IAM в регионах AWS GovCloud (США) и других регионах AWS. Дополнительные сведения о включении ключей безопасности FIDO см. в разделе Включение ключа безопасности FIDO.
AWS предлагает бесплатный ключ безопасности MFA отвечающим критериям владельцам аккаунтов AWS в США. Чтобы узнать соответствуете ли вы требованиям и заказать ключ, обратитесь к консоли Центра безопасности.
Приложения для виртуальной аутентификации
Приложения для виртуальной аутентификации реализуют алгоритм одноразового пароля на основе времени (TOTP) и поддерживают несколько токенов на одном устройстве. Виртуальные аутентификаторы поддерживаются пользователями IAM в регионах AWS GovCloud (США) и других регионах AWS. Дополнительные сведения о включении виртуальных аутентификаторов см. в разделе Включение устройства виртуальной многофакторной аутентификации (MFA).
Вы можете установить приложения для своего смартфона в магазине приложений, соответствующие вашему типу телефона. Некоторые поставщики приложений также предлагают веб-приложения и приложения для настольных компьютеров. Подробнее см. таблицу ниже.
Аппаратные токены TOTP
Аппаратные токены также поддерживают алгоритм TOTP и предоставляются сторонним поставщиком Thales. Данные токены предназначены исключительно для использования с учетными записями AWS. Дополнительные сведения см. в разделе Включение аппаратного устройства MFA.
Чтобы обеспечить совместимость с AWS, вы должны приобрести токены MFA по ссылкам на этой странице. Токены, приобретенные из других источников, могут не работать с IAM, поскольку AWS требует уникальных «семян токенов» – секретных ключей, генерируемых во время выпуска токенов. Семена токенов безопасно передаются AWS только для токенов, приобретенных по ссылкам на этой странице. Токены MFA предлагаются в двух формах: токен OTP и дисплейная карта OTP.
Аппаратные токены TOTP для регионов AWS GovCloud (США)
Аппаратные токены TOTP совместимы с регионами AWS GovCloud (США) и предоставляются сторонним поставщиком Hypersecu. Данные токены предназначены исключительно для пользователей IAM с аккаунтами AWS GovCloud (США).
Чтобы обеспечить совместимость с AWS, вы должны приобрести токены MFA по ссылкам на этой странице. Токены, приобретенные из других источников, могут не работать с IAM, поскольку AWS требует уникальных «семян токенов» – секретных ключей, генерируемых во время выпуска токенов. Семена токенов безопасно передаются AWS только для токенов, приобретенных по ссылкам на этой странице. Токены MFA предлагаются в формате токенов OTP.
Как начать работу с AWS IAM