Многофакторная аутентификация (MFA) для IAM

Многофакторная аутентификация AWS  (MFA) – это передовая практика Управления идентификацией и доступом AWS (IAM) , при которой помимо имени пользователя и пароля для входа в систему требуется второй фактор аутентификации. Вы можете включить MFA на уровне учетной записи AWS для привилегированных пользователей, а также пользователей IAM, созданных в своей учетной записи.
 
AWS расширяет круг участников программы бесплатных ключей безопасности MFA. Подтвердите, что вы соответствуете требованиям и закажите бесплатный ключ MFA.
 
После включения функции MFA при входе в Консоль управления AWS пользователю предлагается ввести имя пользователя и пароль – то, что он знает, а также код аутентификации с устройства MFA – то, что у него есть (или, если он использует аутентификатор с поддержкой биометрии, то, кем он является). В совокупности эти факторы повышают безопасность вашей учетной записи и ресурсов AWS.
 
Рекомендуем обязать пользователей-людей применять временные учетные данные для входа в AWS. Ваши пользователи могут применить поставщик идентификации для интеграции в AWS, где они смогут пройти аутентификацию, используя свои корпоративные учетные данные и конфигурации MFA. Для управления доступом к AWS и бизнес-приложениям рекомендуем использовать Центр идентификации AWS IAM. Дополнительные сведения см. в руководстве пользователя по Центру идентификации IAM.
 
Ознакомьтесь со следующими доступными опциями MFA, которые можно использовать при внедрении IAM MFA. Вы можете загрузить приложения для виртуальной аутентификации по предоставленным ссылкам или приобрести аппаратное устройство MFA у соответствующего производителя. Для использования MFA необходимо приобрести поддерживаемое аппаратное или виртуальное устройство MFA. Дополнительная плата не взимается.

Доступные методы аутентификации MFA для IAM

Управлять устройствами MFA можно в консоли IAM. Ниже перечислены методы аутентификации MFA, которые поддерживаются IAM.

Ключи безопасности FIDO

Сертифицированные FIDO аппаратные ключи безопасности предоставляются сторонними поставщиками, такими как Yubico. FIDO Alliance ведет список всех сертифицированных FIDO продуктов , совместимых со спецификациями FIDO. Стандарты аутентификации FIDO основаны на криптографии с открытым ключом, которая обеспечивает надежную, устойчивую к фишингу аутентификацию, что безопаснее, чем пароли. Ключи безопасности FIDO поддерживают несколько учетных записей привилегированных пользователей, а также пользователей IAM, использующих один ключ безопасности. Ключи безопасности FIDO поддерживаются пользователями IAM в регионах AWS GovCloud (США) и других регионах AWS. Дополнительные сведения о включении ключей безопасности FIDO см. в разделе Включение ключа безопасности FIDO.

AWS предлагает бесплатный ключ безопасности MFA отвечающим критериям владельцам аккаунтов AWS в США. Чтобы узнать соответствуете ли вы требованиям и заказать ключ, обратитесь к консоли Центра безопасности.

Значок ключа безопасности

Приложения для виртуальной аутентификации

Приложения для виртуальной аутентификации реализуют алгоритм одноразового пароля на основе времени (TOTP) и поддерживают несколько токенов на одном устройстве. Виртуальные аутентификаторы поддерживаются пользователями IAM в регионах AWS GovCloud (США) и других регионах AWS. Дополнительные сведения о включении виртуальных аутентификаторов см. в разделе Включение устройства виртуальной многофакторной аутентификации (MFA).

Вы можете установить приложения для своего смартфона в магазине приложений, соответствующие вашему типу телефона. Некоторые поставщики приложений также предлагают веб-приложения и приложения для настольных компьютеров. Подробнее см. таблицу ниже.

Значок приложения виртуального аутентификатора

Аппаратные токены TOTP

Аппаратные токены также поддерживают алгоритм TOTP и предоставляются сторонним поставщиком Thales. Данные токены предназначены исключительно для использования с учетными записями AWS. Дополнительные сведения см. в разделе Включение аппаратного устройства MFA.

Чтобы обеспечить совместимость с AWS, вы должны приобрести токены MFA по ссылкам на этой странице. Токены, приобретенные из других источников, могут не работать с IAM, поскольку AWS требует уникальных «семян токенов» – секретных ключей, генерируемых во время выпуска токенов. Семена токенов безопасно передаются AWS только для токенов, приобретенных по ссылкам на этой странице. Токены MFA предлагаются в двух формах: токен OTP и дисплейная карта OTP.

Аппаратные токены TOTP для регионов AWS GovCloud (США)

Аппаратные токены TOTP совместимы с регионами AWS GovCloud (США) и предоставляются сторонним поставщиком Hypersecu. Данные токены предназначены исключительно для пользователей IAM с аккаунтами AWS GovCloud (США).

Чтобы обеспечить совместимость с AWS, вы должны приобрести токены MFA по ссылкам на этой странице. Токены, приобретенные из других источников, могут не работать с IAM, поскольку AWS требует уникальных «семян токенов» – секретных ключей, генерируемых во время выпуска токенов. Семена токенов безопасно передаются AWS только для токенов, приобретенных по ссылкам на этой странице. Токены MFA предлагаются в формате токенов OTP.

Значок аппаратного токена TOTP

Как начать работу с AWS IAM

Перейдите на страницу начала работы
Готовы приступить к разработке?
Начать работу с AWS IAM
Есть вопросы?
Связаться с нами