Xác thực nhiều yếu tố (MFA) dành cho IAM

MFA là gì?

Xác thực nhiều yếu tố (MFA) của AWS là biện pháp thực hành tốt nhất của Quản lý danh tính và truy cập (IAM) trong AWS, yêu cầu yếu tố xác thực thứ hai ngoài thông tin chứng thực là tên người dùng và mật khẩu dùng để đăng nhập. Bạn có thể kích hoạt MFA ở cấp độ tài khoản AWS cho người dùng gốc và người dùng IAM mà bạn đã tạo trong tài khoản của mình.  
 
AWS đang nới lỏng điều kiện để tham gia chương trình khóa bảo mật MFA miễn phí. Hãy xác minh rằng bạn đủ điều kiện rồi đặt mua khóa MFA miễn phí.
 
Khi bạn kích hoạt MFA, người dùng đăng nhập vào Bảng điều khiển quản lý AWS sẽ thấy lời nhắc nhập tên người dùng và mật khẩu – thông tin họ biết – và mã xác thực từ thiết bị MFA của họ – thông tin họ có (hoặc thông tin nhận dạng họ nếu họ sử dụng trình xác thực hỗ trợ sinh trắc học). Khi kết hợp với nhau, các yếu tố này cải thiện tính bảo mật cho tài khoản và tài nguyên AWS của bạn.
 
Bạn nên yêu cầu người dùng sử dụng thông tin chứng thực tạm thời khi truy cập AWS. Người dùng có thể sử dụng nhà cung cấp dịch vụ danh tính để liên kết vào AWS. Qua đó, họ có thể xác thực bằng thông tin chứng thực công ty và cấu hình MFA. Để quản lý quyền truy cập vào AWS và các ứng dụng dành cho doanh nghiệp, bạn nên sử dụng Trung tâm danh tính AWS IAM. Để biết thêm thông tin, hãy xem Hướng dẫn sử dụng trung tâm danh tính IAM.
 
Sau đây là các tùy chọn MFA mà bạn có thể dùng khi triển khai MFA cho IAM. Bạn có thể tải xuống ứng dụng xác thực ảo thông qua liên kết được cung cấp hoặc mua thiết bị MFA dạng phần cứng của nhà sản xuất tương ứng. Sau khi bạn nhận thiết bị MFA dạng phần cứng hoặc thiết bị MFA ảo được hỗ trợ, AWS sẽ không tính thêm phí sử dụng MFA.

Các phương pháp MFA hiện có dành cho IAM

Bạn có thể quản lý các thiết bị MFA trong bảng điều khiển IAM. Sau đây là các phương pháp MFA được IAM hỗ trợ.

Khóa mật mã và khóa bảo mật

Khóa mật mã và khóa bảo mật dựa trên các tiêu chuẩn FIDO để cung cấp khả năng đăng nhập dễ dàng và an bảo mật hơn trên các thiết bị của người dùng của bạn. Các tiêu chuẩn xác thực FIDO sử dụng phương thức mật mã của khóa công khai, cung cấp khả năng xác thực mạnh mẽ, chống lừa đảo và bảo mật hơn mật khẩu. Bạn có thể tạo khóa mật mã với nhà cung cấp khóa mật mã do bạn chọn như iCloud Keychain, Google Password Manager, 1Password hoặc Dashlane, sử dụng dấu vân tay, khuôn mặt hoặc mã PIN thiết bị và được đồng bộ hóa trên các thiết bị của bạn để đăng nhập với AWS. Khách hàng cũng có thể sử dụng khóa mật mã dành cho thiết bị, còn gọi là khóa bảo mật, do nhà cung cấp bên thứ ba như Yubico cung cấp. Liên minh FIDO lưu giữ một danh sách gồm tất cả các sản phẩm có chứng nhận của FIDO tương thích với thông số kỹ thuật của FIDO. Khóa bảo mật FIDO có thể hỗ trợ nhiều tài khoản gốc và người dùng IAM bằng một khóa bảo mật duy nhất. Khóa mật mã và khóa bảo mật được hỗ trợ cho người dùng gốc và người dùng IAM tại tất cả các Khu vực AWS, trừ Khu vực AWS Trung Quốc (Bắc Kinh) do Sinnet điều hành và Khu vực AWS (Ninh Hạ) do NWCD điều hành. Để biết thêm thông tin về việc kích hoạt khóa bảo mật FIDO, hãy xem tài liệu Enabling a passkey or security key.

AWS cung cấp khóa bảo mật MFA miễn phí cho chủ sở hữu tài khoản AWS đủ điều kiện tại Hoa Kỳ. Để xác định tính đủ điều kiện và đặt mua khóa, hãy xem, hãy xem bảng điều khiển Trung tâm bảo mật.

Ứng dụng xác thực ảo

Các ứng dụng xác thực ảo triển khai thuật toán mật khẩu một lần dựa trên thời gian (TOTP) và hỗ trợ nhiều token trên một thiết bị duy nhất. Ứng dụng xác thực ảo được hỗ trợ đối với người dùng IAM trong Khu vực AWS GovCloud (Hoa Kỳ) và các Khu vực AWS khác. Để biết thêm thông tin về việc kích hoạt ứng dụng xác thực ảo, hãy xem tài liệu Enabling a virtual multi-factor authentication (MFA) device.

Bạn có thể cài đặt ứng dụng cho điện thoại thông minh từ cửa hàng ứng dụng dành riêng cho loại điện thoại thông minh của bạn. Một số nhà cung cấp ứng dụng cũng có ứng dụng web và ứng dụng dành cho máy tính. Tham khảo ví dụ trong bảng sau.

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

Token TOTP dạng phần cứng

Token dạng phần cứng cũng hỗ trợ thuật toán TOTP và được cung cấp bởi Thales, một nhà cung cấp bên thứ ba. Các token này chỉ dùng được với tài khoản AWS. Để biết thêm thông tin, vui lòng tham khảo tài liệu Enabling a hardware MFA device.

Để đảm bảo khả năng tương thích với AWS, bạn phải mua token MFA của mình thông qua các liên kết trên trang này. Token mua từ các nguồn khác có thể không hoạt động với IAM vì AWS yêu cầu “hạt giống token” duy nhất, các khóa bí mật được tạo tại thời điểm tạo token. Chỉ các token được mua thông qua các liên kết trên trang này mới được chia sẻ hạt giống token của chúng một cách an toàn với AWS. Token MFA được cung cấp theo hai dạng: token OTP và thẻ hiển thị OTP.

Token TOTP dạng phần cứng cho Khu vực AWS GovCloud (Hoa Kỳ)

Token TOTP dạng phần cứng tương thích với Khu vực AWS GovCloud (Hoa Kỳ) và được cung cấp bởi Hypersecu, một nhà cung cấp bên thứ ba. Các token này chỉ dành riêng cho người dùng IAM có tài khoản AWS GovCloud (Hoa Kỳ).

Để đảm bảo khả năng tương thích với AWS, bạn phải mua token MFA của mình thông qua các liên kết trên trang này. Token mua từ các nguồn khác có thể không hoạt động với IAM vì AWS yêu cầu “hạt giống token” duy nhất, các khóa bí mật được tạo tại thời điểm tạo token. Chỉ các token được mua thông qua các liên kết trên trang này mới được chia sẻ hạt giống token của chúng một cách an toàn với AWS. Các token MFA được cung cấp theo định dạng token OTP.