AWS Multi-Factor Authentication (MFA) – простой и эффективный способ ввести дополнительный уровень защиты, помимо проверки имени пользователя и пароля. При включенном режиме MFA пользователю, входящему на сайт AWS, предлагается сначала указать свои имя пользователя и пароль (первый фактор – их нужно знать), а затем запрашивается ответ на аутентификацию с устройства AWS MFA (второй фактор – их наличие). Таким образом, совместное использование этих факторов обеспечивает повышенный уровень безопасности настроек и ресурсов аккаунта AWS.

Использование MFA можно включить как для всего аккаунта AWS, так и для отдельных пользователей IAM, которые были созданы в этом аккаунте. С помощью сервиса MFA можно также управлять доступом к API сервиса AWS.

Для использования MFA необходимо приобрести поддерживаемый ключ безопасности U2F, аппаратное устройство или виртуальное устройство MFA. Никакие другие дополнительные платы не взимаются.

С помощью MFA можно также защитить доступ к нескольким аккаунтам.

mfa_video
Как включить Multi-Factor Authentication (MFA) для аккаунта пользователя AWS
  Виртуальное устройство MFA Ключ безопасности U2F Устройство MFA – брелок Устройство MFA – карта с дисплеем Устройство SMS MFA (режим ознакомления) Брелок
Устройство MFA для
AWS GovCloud (США)

Устройство

См. таблицу ниже.
Купить. Купить. Купить. Используйте мобильные устройства. Купить.
Физический формат Используйте имеющийся смартфон или планшет с приложением, которое поддерживает открытый стандарт TOTP. Прочный и водонепроницаемый ключ безопасности YubiKey от стороннего поставщика Yubico. Невскрываемый аппаратный ключ, поставляемый сторонним поставщиком Gemalto. Невскрываемая смарт-карта, поставляемая сторонним поставщиком Gemalto. Любое мобильное устройство, способное принимать короткие текстовые сообщения (SMS). Аппаратный ключ с защитой от вскрытия, поставляемый сторонним поставщиком SurePassID.
Цена Бесплатно 40,00 USD 12,99 USD 19,99 USD Может взиматься плата за SMS и передачу данных. 15,95 USD
Возможности Поддержка нескольких токенов на одном устройстве. Поддержка нескольких привилегированных пользователей и пользователей IAM с применением одного ключа безопасности. Устройства такого же типа используются в большинстве финансовых сервисов и крупных ИТ-компаний. Похоже на брелоки, но в удобном корпусе, который помещается в бумажник, как кредитная карта. Уже знакомая возможность с низкой стоимостью настройки. Брелок
исключительно для использования с
аккаунтами AWS GovCloud (США).
Совместимость с
AWS GovCloud (США)
       
Совместимость с аккаунтом Root    
Совместимость с пользователем IAM

Приложения для смартфона можно загрузить из магазина приложений для конкретного типа телефона. В следующей таблице приведены некоторые приложения для различных типов смартфонов.

AWS поддерживает ключ безопасности U2F в качестве устройства MFA для доступа к Консоли управления AWS при использовании определенных веб-браузеров. Мы рекомендуем использовать виртуальный или аппаратный MFA для мобильного приложения AWS Console. Для получения дополнительной информации ознакомьтесь с конфигурациями, связанными с ключом безопасности U2F, поддерживаемым AWS.

Мы больше не регистрируем новых участников на режим ознакомления с SMS MFA. Мы рекомендуем использовать MFA в аккаунте AWS, применяя ключ безопасности U2F, аппаратное устройство или виртуальное устройство MFA.

Для существующих участников MFA с помощью SMS: с 1 февраля 2019 года AWS больше не будет требовать от пользователей IAM ввода шестизначного кода MFA, если пользователь IAM настроен с помощью «устройства SMS MFA». Эти пользователи больше не будут получать SMS-код при входе в систему. Мы рекомендуем использовать MFA, применяя ключ безопасности U2F, аппаратное или виртуальное устройство MFA. Возможность MFA с помощью SMS можно продолжать использовать до 31 января 2019 года.

Дополнительные сведения о многофакторной аутентификации AWS см. в разделе Вопросы и ответы по IAM.