ผลิตภัณฑ์›
ความปลอดภัย การระบุตัวตน และการปฏิบัติตามข้อกำหนด›
AWS Identity and Access Management›
คุณสมบัติของ IAM

การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) สำหรับ IAM

การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) ของ AWS เป็นแนวทางปฏิบัติ AWS Identity and Access Management (IAM) ที่ดีที่สุดซึ่งต้องใช้ปัจจัยการยืนยันตัวตนที่สอง นอกเหนือจากข้อมูลประจำตัวการลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน คุณสามารถเปิดใช้งาน MFA ได้ที่ระดับบัญชี AWS สําหรับผู้ใช้ที่มีสิทธิ์ใช้งานสูงสุดและผู้ใช้ IAM ที่คุณสร้างไว้ในบัญชีของคุณ

AWS กําลังขยายสิทธิ์เข้าร่วมโปรแกรมคีย์ความปลอดภัยของ MFA ฟรี ตรวจสอบสิทธิ์เข้าร่วมของคุณและสั่งซื้อ คีย์ของ MFA ฟรีของคุณ

ขณะเปิดใช้งาน MFA เมื่อผู้ใช้ลงชื่อเข้าใช้ คอนโซลการจัดการของ AWS ผู้ใช้จะถูกขอให้ใส่ชื่อผู้ใช้และรหัสผ่าน – ซึ่งเป็นสิ่งที่พวกเขารู้ – และรหัสการยืนยันตัวตนจากอุปกรณ์ MFA – ซึ่งเป็นสิ่งที่พวกเขามีอยู่ (หรือหากพวกเขาใช้แอปยืนยันตัวตนที่เปิดใช้งานโดยไบโอเมตริก ซึ่งเป็นสิ่งที่พวกเขาเป็น) เมื่อรวมกัน ปัจจัยเหล่านี้จะปรับปรุงความปลอดภัยให้แก่บัญชีและทรัพยากร AWS ของคุณ

เราขอแนะนําให้คุณกําหนดให้ผู้ใช้ที่เป็นมนุษย์ของคุณใช้ข้อมูลประจำตัวชั่วคราวเมื่อเข้าถึง AWS ผู้ใช้ของคุณสามารถใช้ผู้ให้บริการข้อมูลระบุตัวตนเพื่อรวมศูนย์เข้ากับ AWS ที่ซึ่งพวกเขาสามารถยืนยันตัวตนด้วยข้อมูลประจําตัวขององค์กรและการกําหนดค่า MFA ได้ หากต้องการจัดการการเข้าถึงแอปพลิเคชันของ AWS และแอปพลิเคชันสำหรับธุรกิจ เราขอแนะนําให้คุณใช้ ศูนย์ข้อมูลประจำตัวของ AWS IAM สําหรับข้อมูลเพิ่มเติม โปรดดู คู่มือผู้ใช้ศูนย์ข้อมูลประจำตัวของ AWS IAM

ดูตัวเลือก MFA ที่พร้อมให้บริการต่อไปนี้ซึ่งคุณสามารถใช้กับการปรับใช้ IAM MFA ของคุณ คุณสามารถดาวน์โหลดแอปยืนยันตัวตนเสมือนผ่านลิงก์ที่ให้ไว้ หรือคุณสามารถรับอุปกรณ์ฮาร์ดแวร์ของ MFA จากผู้ผลิตที่เกี่ยวข้อง หลังจากที่คุณได้รับอุปกรณ์ของ MFA แบบเสมือนหรือแบบฮาร์ดแวร์ที่รองรับแล้ว AWS จะไม่เรียกเก็บค่าธรรมเนียมเพิ่มเติมในการใช้งาน MFA

วิธี MFA ที่ใช้งานได้กับ IAM

คุณสามารถจัดการอุปกรณ์ของ MFA ของคุณได้ในคอนโซล IAM ตัวเลือกต่อไปนี้เป็นวิธี MFA ที่ IAM รองรับ

พาสคีย์และคีย์ความปลอดภัย

พาสคีย์และคีย์ความปลอดภัยอยู่บนพื้นฐานของมาตรฐาน FIDO เพื่อให้การลงชื่อเข้าใช้ได้ง่ายและปลอดภัยยิ่งขึ้นในอุปกรณ์ของผู้ใช้ของคุณ มาตรฐานการยืนยันตัวตน FIDO เป็นไปตามการเข้ารหัสคีย์สาธารณะซึ่งช่วยให้การยืนยันตัวตนรัดกุมและป้องกันการฟิชชิง โดยมีความปลอดภัยมากกว่ารหัสผ่าน พาสคีย์ถูกสร้างขึ้นด้วยผู้ให้บริการรหัสผ่านที่คุณเลือก เช่น iCloud Keychain, Google Password Manager, 1Password หรือ Dashlane โดยใช้ลายนิ้วมือ ใบหน้า หรือ PIN ของอุปกรณ์ของคุณ และจะซิงค์กับอุปกรณ์ของคุณเพื่อลงชื่อเข้าใช้กับ AWS ลูกค้ายังสามารถใช้พาสคีย์ที่ผูกไว้กับอุปกรณ์ หรือที่เรียกว่าคีย์ความปลอดภัย ซึ่งจัดทำโดยผู้ให้บริการบุคคลที่สามเช่น Yubico FIDO Alliance เก็บรายการผลิตภัณฑ์ที่ได้รับการรับรองจาก FIDO ทั้งหมด ซึ่งเข้ากันได้กับข้อมูลจำเพาะของ FIDO คีย์ความปลอดภัย FIDO สามารถรองรับหลายบัญชีที่มีสิทธิ์ใช้งานสูงสุดและหลายผู้ใช้ IAM โดยใช้คีย์ความปลอดภัยเดียว รหัสผ่านและคีย์ความปลอดภัยได้รับการสนับสนุนสำหรับผู้ใช้ root และ IAM ใน AWS Regions ทั้งหมดยกเว้นรีเจี้ยน AWS จีน (ปักกิ่ง) ซึ่งดำเนินการโดย Sinnet และรีเจี้ยน AWS (หนิงเซี่ย) ซึ่งดำเนินการโดย NWCD สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานคีย์ความปลอดภัย FIDO ดูที่ การเปิดใช้งานพาสคีย์หรือคีย์ความปลอดภัย

AWS เสนอคีย์ความปลอดภัยของ MFAฟรีให้กับเจ้าของบัญชี AWS ที่มีสิทธิ์เข้าร่วมในสหรัฐอเมริกา หากต้องการตรวจสอบสิทธิ์เข้าร่วมและสั่งซื้อคีย์ ดูที่คอนโซล Security Hub

แอปยืนยันตัวตนเสมือน

แอปยืนยันตัวตนเสมือนใช้อัลกอริธึม รหัสผ่านแบบใช้ครั้งเดียวที่อิงตามเวลา (TOTP) และรองรับโทเค็นหลายรายการบนอุปกรณ์เดียว ตัวยืนยันตัวตนเสมือนรองรับสําหรับผู้ใช้ IAM ในRegion AWS GovCloud (สหรัฐฯ) และใน AWS Region อื่นๆ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานแอปยืนยันตัวตนเสมือน ดูที่ การเปิดใช้งานอุปกรณ์ยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) เสมือน

คุณสามารถติดตั้งแอปสําหรับสมาร์ทโฟนของคุณได้จาก App Store เฉพาะตามประเภทของสมาร์ทโฟนของคุณ ผู้ให้บริการแอปบางรายยังมีเว็บและแอปพลิเคชันบนเดสก์ท็อปที่พร้อมให้บริการ ดูตัวอย่างในตารางต่อไปนี้

Android	Twilio Authy Authenticator, Duo Mobile, Microsoft Authenticator, Google Authenticator, Symantec VIP
iOS	Twilio Authy Authenticator, Duo Mobile, Microsoft Authenticator, Google Authenticator, Symantec VIP

โทเค็นฮาร์ดแวร์ของ TOTP

โทเค็นฮาร์ดแวร์ยังรองรับอัลกอริทึม TOTPและให้บริการโดย Thales ซึ่งเป็นผู้ให้บริการภายนอก โทเค็นเหล่านี้มีไว้ใช้เฉพาะกับบัญชี AWS เท่านั้น สําหรับข้อมูลเพิ่มเติม โปรดดูการเปิดใช้งานอุปกรณ์ฮาร์ดแวร์ของ MFA

คุณต้องซื้อโทเค็น MFA ผ่านลิงก์ในหน้านี้เพื่อให้แน่ใจว่าจะทำงานร่วมกับ AWS ได้ โทเค็นที่ซื้อจากแหล่งที่มาอื่นอาจไม่สามารถทำงานร่วมกับ IAM เนื่องจาก AWS กำหนดให้ใช้ “Seed ของโทเค็น” เฉพาะ ซื่องเป็นคีย์ลับที่สร้างขึ้นเมื่อผลิดโทเค็น มีเพียงโทเค็นที่ซื้อผ่านลิงก์ในหน้านี้เท่านั้นที่แชร์ Seed ของโทเค็นกับ AWS อย่างปลอดภัย โทเค็น MFA จะมีสองรูปแบบ ได้แก่ โทเค็น OTP และการ์ดจอแสดงผล OTP

โทเค็นฮาร์ดแวร์ของ TOTP สําหรับ Region AWS GovCloud (สหรัฐฯ)

โทเค็นฮาร์ดแวร์ของ TOTP ใช้ได้กับ Region AWS GovCloud (สหรัฐฯ) และให้บริการโดย Hypersecu ซึ่งเป็นผู้ให้บริการภายนอก โทเค็นเหล่านี้มีไว้สําหรับผู้ใช้ IAM ที่มีบัญชี AWS GovCloud (สหรัฐฯ) เท่านั้น

คุณต้องซื้อโทเค็น MFA ผ่านลิงก์ในหน้านี้เพื่อให้แน่ใจว่าจะทำงานร่วมกับ AWS ได้ โทเค็นที่ซื้อจากแหล่งที่มาอื่นอาจไม่สามารถทำงานร่วมกับ IAM เนื่องจาก AWS กำหนดให้ใช้ “Seed ของโทเค็น” เฉพาะ ซื่องเป็นคีย์ลับที่สร้างขึ้นเมื่อผลิดโทเค็น มีเพียงโทเค็นที่ซื้อผ่านลิงก์ในหน้านี้เท่านั้นที่แชร์ Seed ของโทเค็นกับ AWS อย่างปลอดภัย โทเค็น MFA จะอยู่ในรูปแบบโทเค็น OTP

เรียนรู้วิธีเริ่มต้นใช้งาน AWS IAM

ไปที่หน้าเริ่มต้นใช้งาน

พร้อมสร้างหรือยัง

เริ่มต้นใช้งาน AWS IAM

มีคำถามเพิ่มเติมหรือไม่

ติดต่อเรา