Xác thực nhiều yếu tố (MFA) dành cho IAM
Các phương pháp MFA hiện có dành cho IAM
Bạn có thể quản lý các thiết bị MFA trong bảng điều khiển IAM. Sau đây là các phương pháp MFA được IAM hỗ trợ.
Khóa bảo mật FIDO
Khóa bảo mật dạng phần cứng có chứng nhận của FIDO được cung cấp bởi các nhà cung cấp bên thứ ba, ví dụ như Yubico. Liên minh FIDO lưu giữ một danh sách gồm tất cả các sản phẩm có chứng nhận của FIDO tương thích với thông số kỹ thuật của FIDO. Các tiêu chuẩn xác thực FIDO sử dụng phương thức mật mã của khóa công khai, cho phép xác thực mạnh mẽ, chống lừa đảo và an toàn hơn mật khẩu. Khóa bảo mật FIDO hỗ trợ nhiều tài khoản gốc và người dùng IAM bằng một khóa bảo mật duy nhất. Khóa bảo mật FIDO hỗ trợ người dùng IAM trong Khu vực AWS GovCloud (Hoa Kỳ) và các Khu vực AWS khác. Để biết thêm thông tin về việc kích hoạt khóa bảo mật FIDO, hãy xem tài liệu Enabling a FIDO security key.
AWS cung cấp khóa bảo mật MFA miễn phí cho chủ sở hữu tài khoản AWS đủ điều kiện tại Hoa Kỳ. Để xác định tính đủ điều kiện và đặt mua khóa, hãy xem bảng điều khiển Trung tâm bảo mật.
Ứng dụng xác thực ảo
Các ứng dụng xác thực ảo triển khai thuật toán mật khẩu một lần dựa trên thời gian (TOTP) và hỗ trợ nhiều token trên một thiết bị duy nhất. Ứng dụng xác thực ảo được hỗ trợ đối với người dùng IAM trong Khu vực AWS GovCloud (Hoa Kỳ) và các Khu vực AWS khác. Để biết thêm thông tin về việc kích hoạt ứng dụng xác thực ảo, hãy xem tài liệu Enabling a virtual multi-factor authentication (MFA) device.
Bạn có thể cài đặt ứng dụng cho điện thoại thông minh từ cửa hàng ứng dụng dành riêng cho loại điện thoại thông minh của bạn. Một số nhà cung cấp ứng dụng cũng có ứng dụng web và ứng dụng dành cho máy tính. Tham khảo ví dụ trong bảng sau.
Token TOTP dạng phần cứng
Token dạng phần cứng cũng hỗ trợ thuật toán TOTP và được cung cấp bởi Thales, một nhà cung cấp bên thứ ba. Các token này chỉ dùng được với tài khoản AWS. Để biết thêm thông tin, vui lòng tham khảo Kích hoạt thiết bị MFA dạng phần cứng.
Để đảm bảo khả năng tương thích với AWS, bạn phải mua token MFA của mình thông qua các liên kết trên trang này. Token mua từ các nguồn khác có thể không hoạt động với IAM vì AWS yêu cầu “hạt giống token” duy nhất, các khóa bí mật được tạo tại thời điểm tạo token. Chỉ các token được mua thông qua các liên kết trên trang này mới được chia sẻ hạt giống token của chúng một cách an toàn với AWS. Token MFA được cung cấp theo hai dạng: token OTP và thẻ hiển thị OTP.
Token TOTP dạng phần cứng cho Khu vực AWS GovCloud (Hoa Kỳ)
Token TOTP dạng phần cứng tương thích với Khu vực AWS GovCloud (Hoa Kỳ) và được cung cấp bởi Hypersecu, một nhà cung cấp bên thứ ba. Các token này chỉ dành riêng cho người dùng IAM có tài khoản AWS GovCloud (Hoa Kỳ).
Để đảm bảo khả năng tương thích với AWS, bạn phải mua token MFA của mình thông qua các liên kết trên trang này. Token mua từ các nguồn khác có thể không hoạt động với IAM vì AWS yêu cầu “hạt giống token” duy nhất, các khóa bí mật được tạo tại thời điểm tạo token. Chỉ các token được mua thông qua các liên kết trên trang này mới được chia sẻ hạt giống token của chúng một cách an toàn với AWS. Các token MFA được cung cấp theo dạng token OTP.
Tìm hiểu cách bắt đầu sử dụng AWS IAM