การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) สำหรับ IAM

การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) ของ AWS เป็นแนวทางปฏิบัติ AWS Identity and Access Management (IAM) ที่ดีที่สุดซึ่งต้องใช้ปัจจัยการยืนยันตัวตนที่สอง นอกเหนือจากข้อมูลประจำตัวการลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน คุณสามารถเปิดใช้งาน MFA ได้ที่ระดับบัญชี AWS สําหรับผู้ใช้ที่มีสิทธิ์ใช้งานสูงสุดและผู้ใช้ IAM ที่คุณสร้างไว้ในบัญชีของคุณ  
 
AWS กําลังขยายสิทธิ์เข้าร่วมโปรแกรมคีย์ความปลอดภัยของ MFA ฟรี ตรวจสอบสิทธิ์เข้าร่วมของคุณและสั่งซื้อ คีย์ของ MFA ฟรีของคุณ
 
ขณะเปิดใช้งาน MFA เมื่อผู้ใช้ลงชื่อเข้าใช้ คอนโซลการจัดการของ AWS ผู้ใช้จะถูกขอให้ใส่ชื่อผู้ใช้และรหัสผ่าน – ซึ่งเป็นสิ่งที่พวกเขารู้ – และรหัสการยืนยันตัวตนจากอุปกรณ์ MFA – ซึ่งเป็นสิ่งที่พวกเขามีอยู่ (หรือหากพวกเขาใช้แอปยืนยันตัวตนที่เปิดใช้งานโดยไบโอเมตริก ซึ่งเป็นสิ่งที่พวกเขาเป็น) เมื่อรวมกัน ปัจจัยเหล่านี้จะปรับปรุงความปลอดภัยให้แก่บัญชีและทรัพยากร AWS ของคุณ
 
เราขอแนะนําให้คุณกําหนดให้ผู้ใช้ที่เป็นมนุษย์ของคุณใช้ข้อมูลประจำตัวชั่วคราวเมื่อเข้าถึง AWS ผู้ใช้ของคุณสามารถใช้ผู้ให้บริการข้อมูลระบุตัวตนเพื่อรวมศูนย์เข้ากับ AWS ที่ซึ่งพวกเขาสามารถยืนยันตัวตนด้วยข้อมูลประจําตัวขององค์กรและการกําหนดค่า MFA ได้ หากต้องการจัดการการเข้าถึงแอปพลิเคชันของ AWS และแอปพลิเคชันสำหรับธุรกิจ เราขอแนะนําให้คุณใช้ ศูนย์ข้อมูลประจำตัวของ AWS IAM สําหรับข้อมูลเพิ่มเติม โปรดดู คู่มือผู้ใช้ศูนย์ข้อมูลประจำตัวของ AWS IAM
 
ดูตัวเลือก MFA ที่พร้อมให้บริการต่อไปนี้ซึ่งคุณสามารถใช้กับการปรับใช้ IAM MFA ของคุณ คุณสามารถดาวน์โหลดแอปยืนยันตัวตนเสมือนผ่านลิงก์ที่ให้ไว้ หรือคุณสามารถรับอุปกรณ์ฮาร์ดแวร์ของ MFA จากผู้ผลิตที่เกี่ยวข้อง หลังจากที่คุณได้รับอุปกรณ์ของ MFA แบบเสมือนหรือแบบฮาร์ดแวร์ที่รองรับแล้ว AWS จะไม่เรียกเก็บค่าธรรมเนียมเพิ่มเติมในการใช้งาน MFA

วิธี MFA ที่ใช้งานได้กับ IAM

คุณสามารถจัดการอุปกรณ์ของ MFA ของคุณได้ในคอนโซล IAM ตัวเลือกต่อไปนี้เป็นวิธี MFA ที่ IAM รองรับ

คีย์ความปลอดภัย FIDO

คีย์ความปลอดภัยฮาร์ดแวร์ที่ได้รับการรับรองจาก FIDO ให้บริการโดยผู้ให้บริการภายนอก เช่น Yubico FIDO Alliance เก็บรายการผลิตภัณฑ์ที่ได้รับการรับรองจาก FIDO ทั้งหมด  ซึ่งเข้ากันได้กับข้อมูลจำเพาะของ FIDO มาตรฐานการยืนยันตัวตน FIDO เป็นไปตามการเข้ารหัสคีย์สาธารณะซึ่งช่วยให้การยืนยันตัวตนรัดกุมและป้องกันการฟิชชิง โดยมีความปลอดภัยมากกว่ารหัสผ่าน คีย์ความปลอดภัย FIDO รองรับหลายบัญชีที่มีสิทธิ์ใช้งานสูงสุดและหลายผู้ใช้ IAM โดยใช้คีย์ความปลอดภัยเดียว คีย์ความปลอดภัย FIDO รองรับสําหรับผู้ใช้ IAM ในภูมิภาค AWS GovCloud (สหรัฐฯ) และใน AWS Region อื่นๆ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานคีย์ความปลอดภัย FIDO ดูที่ การเปิดใช้งานคีย์ความปลอดภัย FIDO

AWS เสนอคีย์ความปลอดภัยของ MFAฟรีให้กับเจ้าของบัญชี AWS ที่มีสิทธิ์เข้าร่วมในสหรัฐอเมริกา หากต้องการตรวจสอบสิทธิ์เข้าร่วมและสั่งซื้อคีย์ ดูที่คอนโซล Security Hub

ไอคอนคีย์ความปลอดภัย

แอปยืนยันตัวตนเสมือน

แอปยืนยันตัวตนเสมือนใช้อัลกอริธึม รหัสผ่านแบบใช้ครั้งเดียวที่อิงตามเวลา (TOTP) และรองรับโทเค็นหลายรายการบนอุปกรณ์เดียว ตัวยืนยันตัวตนเสมือนรองรับสําหรับผู้ใช้ IAM ในRegion AWS GovCloud (สหรัฐฯ) และใน AWS Region อื่นๆ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานแอปยืนยันตัวตนเสมือน ดูที่ การเปิดใช้งานอุปกรณ์ยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) เสมือน

คุณสามารถติดตั้งแอปสําหรับสมาร์ทโฟนของคุณได้จาก App Store เฉพาะตามประเภทของสมาร์ทโฟนของคุณ ผู้ให้บริการแอปบางรายยังมีเว็บและแอปพลิเคชันบนเดสก์ท็อปที่พร้อมให้บริการ ดูตัวอย่างในตารางต่อไปนี้

ไอคอนแอปยืนยันตัวตนเสมือน

โทเค็นฮาร์ดแวร์ของ TOTP

โทเค็นฮาร์ดแวร์ยังรองรับอัลกอริทึม TOTPและให้บริการโดย Thales ซึ่งเป็นผู้ให้บริการภายนอก โทเค็นเหล่านี้มีไว้ใช้เฉพาะกับบัญชี AWS เท่านั้น สําหรับข้อมูลเพิ่มเติม โปรดดูการเปิดใช้งานอุปกรณ์ฮาร์ดแวร์ของ MFA

คุณต้องซื้อโทเค็น MFA ผ่านลิงก์ในหน้านี้เพื่อให้แน่ใจว่าจะทำงานร่วมกับ AWS ได้ โทเค็นที่ซื้อจากแหล่งที่มาอื่นอาจไม่สามารถทำงานร่วมกับ IAM เนื่องจาก AWS กำหนดให้ใช้ “Seed ของโทเค็น” เฉพาะ ซื่องเป็นคีย์ลับที่สร้างขึ้นเมื่อผลิดโทเค็น มีเพียงโทเค็นที่ซื้อผ่านลิงก์ในหน้านี้เท่านั้นที่แชร์ Seed ของโทเค็นกับ AWS อย่างปลอดภัย โทเค็น MFA จะมีสองรูปแบบ ได้แก่ โทเค็น OTP และการ์ดจอแสดงผล OTP

โทเค็นฮาร์ดแวร์ของ TOTP สําหรับ Region AWS GovCloud (สหรัฐฯ)

โทเค็นฮาร์ดแวร์ของ TOTP ใช้ได้กับ Region AWS GovCloud (สหรัฐฯ) และให้บริการโดย Hypersecu ซึ่งเป็นผู้ให้บริการภายนอก โทเค็นเหล่านี้มีไว้สําหรับผู้ใช้ IAM ที่มีบัญชี AWS GovCloud (สหรัฐฯ) เท่านั้น

คุณต้องซื้อโทเค็น MFA ผ่านลิงก์ในหน้านี้เพื่อให้แน่ใจว่าจะทำงานร่วมกับ AWS ได้ โทเค็นที่ซื้อจากแหล่งที่มาอื่นอาจไม่สามารถทำงานร่วมกับ IAM เนื่องจาก AWS กำหนดให้ใช้ “Seed ของโทเค็น” เฉพาะ ซื่องเป็นคีย์ลับที่สร้างขึ้นเมื่อผลิดโทเค็น มีเพียงโทเค็นที่ซื้อผ่านลิงก์ในหน้านี้เท่านั้นที่แชร์ Seed ของโทเค็นกับ AWS อย่างปลอดภัย โทเค็น MFA จะอยู่ในรูปแบบโทเค็น OTP

ไอคอนโทเค็นฮาร์ดแวร์ของ TOTP

เรียนรู้วิธีเริ่มต้นใช้งาน AWS IAM

ไปที่หน้าเริ่มต้นใช้งาน
พร้อมสร้างหรือยัง
เริ่มต้นใช้งาน AWS IAM
มีคำถามเพิ่มเติมหรือไม่
ติดต่อเรา