AWS Otentikasi multi-faktor di IAM - AWS Identity and Access Management
Jenis MFARekomendasi MFASumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Otentikasi multi-faktor di IAM

Untuk meningkatkan keamanan, kami menyarankan Anda mengonfigurasi otentikasi multi-faktor (MFA) untuk membantu melindungi sumber daya Anda. AWS Anda dapat mengaktifkan MFA untuk semua Akun AWS, termasuk akun mandiri, akun manajemen, dan akun anggota, serta untuk pengguna IAM Anda. Pengguna root akun AWS

MFA diberlakukan untuk semua jenis akun untuk pengguna root mereka. Untuk informasi selengkapnya, lihat Amankan kredensi pengguna root AWS Organizations akun Anda.

Saat Anda mengaktifkan MFA untuk pengguna akar, itu hanya memengaruhi kredensial pengguna akar. Pengguna IAM di akun memiliki identitas berbeda dengan kredensial mereka sendiri, dan setiap identitas memiliki konfigurasi MFA-nya sendiri. Untuk informasi selengkapnya tentang penggunaan MFA untuk melindungi pengguna root, lihat. Otentikasi multi-faktor untuk Pengguna root akun AWS

Pengguna Anda Pengguna root akun AWS dan IAM dapat mendaftarkan hingga delapan perangkat MFA jenis apa pun. Mendaftarkan beberapa perangkat MFA dapat memberikan fleksibilitas dan membantu Anda mengurangi risiko gangguan akses jika perangkat hilang atau rusak. Anda hanya perlu satu perangkat MFA untuk masuk ke AWS Management Console atau membuat sesi melalui. AWS CLI

catatan

Kami menyarankan Anda meminta pengguna manusia Anda untuk menggunakan kredensil sementara saat mengakses. AWS Sudahkah Anda mempertimbangkan untuk menggunakan AWS IAM Identity Center? Anda dapat menggunakan Pusat Identitas IAM untuk mengelola akses ke beberapa secara terpusat Akun AWS dan memberi pengguna akses masuk tunggal yang dilindungi MFA ke semua akun yang ditetapkan dari satu tempat. Dengan IAM Identity Center, Anda dapat membuat dan mengelola identitas pengguna di IAM Identity Center atau dengan mudah terhubung ke penyedia identitas kompatibel SAMP 2.0 yang ada. Untuk informasi lebih lanjut, lihat Apa itu Pusat Identitas IAM? dalam AWS IAM Identity Center User Guide.

MFA menambahkan keamanan ekstra yang mengharuskan pengguna untuk memberikan otentikasi unik dari mekanisme AWS MFA yang didukung selain kredensi masuk mereka ketika mereka mengakses situs web atau layanan. AWS

Jenis MFA

AWS mendukung jenis MFA berikut:

Kunci sandi dan kunci keamanan

AWS Identity and Access Management mendukung kunci sandi dan kunci keamanan untuk MFA. Berdasarkan standar FIDO, kunci sandi menggunakan kriptografi kunci publik untuk memberikan otentikasi yang kuat dan tahan phishing yang lebih aman daripada kata sandi. AWS mendukung dua jenis kunci sandi: kunci sandi terikat perangkat (kunci keamanan) dan kunci sandi yang disinkronkan.

  • Kunci keamanan: Ini adalah perangkat fisik, seperti YubiKey, digunakan sebagai faktor kedua untuk otentikasi. Satu kunci keamanan dapat mendukung beberapa akun pengguna root dan pengguna IAM.

  • Kunci sandi yang disinkronkan: Ini menggunakan pengelola kredensi dari penyedia seperti Google, Apple, akun Microsoft, dan layanan pihak ketiga seperti 1Password, Dashlane, dan Bitwarden sebagai faktor kedua.

Anda dapat menggunakan autentikator biometrik bawaan, seperti Touch ID di Apple MacBooks, untuk membuka kunci pengelola kredensi dan masuk. AWS Kunci sandi dibuat dengan penyedia pilihan Anda menggunakan sidik jari, wajah, atau PIN perangkat Anda. Anda dapat menyinkronkan kunci sandi di seluruh perangkat Anda untuk memfasilitasi masuk dengan AWS, meningkatkan kegunaan dan pemulihan.

IAM tidak mendukung pendaftaran passkey lokal untuk Windows Hello. Untuk membuat dan menggunakan kunci sandi, pengguna Windows harus menggunakan otentikasi lintas perangkat (CDA). Anda dapat menggunakan kunci sandi CDA dari satu perangkat, seperti perangkat seluler atau kunci keamanan perangkat keras, untuk masuk di perangkat lain seperti laptop.

Aliansi FIDO menyimpan daftar semua produk Bersertifikat FIDO yang kompatibel dengan spesifikasi FIDO.

Untuk informasi selengkapnya tentang mengaktifkan kunci sandi dan kunci keamanan, lihat. Aktifkan kunci sandi atau kunci keamanan untuk pengguna root (konsol)

Aplikasi otentikator virtual

Aplikasi otentikator virtual berjalan di telepon atau perangkat lain dan mengemulasi perangkat fisik. Aplikasi otentikator virtual menerapkan algoritma kata sandi satu kali berbasis waktu (TOTP) dan mendukung beberapa token pada satu perangkat. Pengguna harus mengetikkan kode yang valid dari perangkat saat diminta saat masuk. Setiap token yang ditetapkan untuk pengguna harus unik. Pengguna tidak dapat mengetik kode dari token pengguna lain untuk mengautentikasi.

Kami menyarankan agar Anda menggunakan perangkat MFA virtual saat menunggu untuk mendapatkan persetujuan pembelian perangkat keras atau saat menunggu kedatangan perangkat keras Anda. Untuk daftar beberapa aplikasi yang didukung yang dapat Anda gunakan sebagai perangkat MFA virtual, lihat Multi-Factor Authentication (MFA).

Untuk petunjuk tentang pengaturan perangkat MFA virtual untuk pengguna IAM, lihat. Tetapkan MFA perangkat virtual di AWS Management Console

catatan

Perangkat MFA virtual yang tidak ditetapkan di Akun AWS Anda akan dihapus saat Anda menambahkan perangkat MFA virtual baru baik melalui atau selama AWS Management Console proses masuk. Perangkat MFA virtual yang tidak ditetapkan adalah perangkat di akun Anda tetapi tidak digunakan oleh pengguna root akun atau pengguna IAM untuk proses masuk. Mereka dihapus sehingga perangkat MFA virtual baru dapat ditambahkan ke akun Anda. Ini juga memungkinkan Anda untuk menggunakan kembali nama perangkat.

Token TOTP perangkat keras

Perangkat keras menghasilkan kode numerik enam digit berdasarkan algoritma kata sandi satu kali berbasis waktu (TOTP). Pengguna harus mengetik kode yang valid dari perangkat di halaman web kedua saat masuk.

Token ini digunakan secara eksklusif dengan Akun AWS. Anda hanya dapat menggunakan token yang memiliki benih token unik mereka dibagikan dengan AWS aman. Benih token adalah kunci rahasia yang dihasilkan pada saat produksi token. Token yang dibeli dari sumber lain tidak akan berfungsi dengan IAM. Untuk memastikan kompatibilitas, Anda harus membeli perangkat MFA perangkat keras Anda dari salah satu tautan berikut: Token OTP atau kartu tampilan OTP.

  • Setiap perangkat MFA yang ditetapkan ke pengguna harus unik. Pengguna tidak dapat mengetik kode dari perangkat pengguna lain untuk diautentikasi. Untuk informasi tentang perangkat MFA perangkat keras yang didukung, lihat Multi-Factor Authentication (MFA).

  • Jika Anda ingin menggunakan perangkat MFA fisik, kami sarankan Anda menggunakan kunci keamanan sebagai alternatif perangkat TOTP perangkat keras. Kunci keamanan tidak memiliki persyaratan baterai, tahan phishing, dan mendukung banyak pengguna pada satu perangkat.

Anda dapat mengaktifkan kunci sandi atau kunci keamanan dari AWS Management Console satu-satunya, bukan dari AWS CLI atau AWS API. Sebelum Anda dapat mengaktifkan kunci keamanan, Anda harus memiliki akses fisik ke perangkat.

Untuk petunjuk tentang menyiapkan token TOTP perangkat keras untuk pengguna IAM, lihat. Tetapkan TOTP token perangkat keras di AWS Management Console

catatan

MFA berbasis pesan teks SMS AWS mengakhiri dukungan untuk mengaktifkan otentikasi multi-faktor SMS (MFA). Kami menyarankan agar pelanggan yang memiliki pengguna IAM yang menggunakan MFA berbasis pesan teks SMS beralih ke salah satu metode alternatif berikut: Kunci sandi atau kunci keamanan, perangkat MFA virtual (berbasis perangkat lunak), atauperangkat MFA perangkat keras. Anda dapat mengidentifikasi pengguna di akun Anda dengan perangkat MFA SMS yang ditetapkan. Di konsol IAM, pilih Pengguna dari panel navigasi, dan cari pengguna dengan SMS dalam kolom tabel MFA.

Rekomendasi MFA

Untuk membantu mengamankan AWS identitas Anda, ikuti rekomendasi ini untuk otentikasi MFA.

  • Kami menyarankan Anda mengaktifkan beberapa perangkat MFA untuk Pengguna root akun AWS dan pengguna IAM di Anda. Akun AWS Ini memungkinkan Anda untuk meningkatkan bilah keamanan di Anda Akun AWS dan menyederhanakan pengelolaan akses ke pengguna yang sangat istimewa, seperti. Pengguna root akun AWS

  • Anda dapat mendaftarkan hingga delapan perangkat MFA dari kombinasi jenis MFA yang saat ini didukung dengan pengguna Anda Pengguna root akun AWS dan IAM. Dengan beberapa perangkat MFA, Anda hanya perlu satu perangkat MFA untuk masuk ke AWS Management Console atau membuat sesi melalui sebagai pengguna tersebut AWS CLI . Pengguna IAM harus mengautentikasi dengan perangkat MFA yang ada untuk mengaktifkan atau menonaktifkan perangkat MFA tambahan.

  • Jika perangkat MFA hilang, dicuri, atau tidak dapat diakses, Anda dapat menggunakan salah satu perangkat MFA yang tersisa untuk mengakses tanpa melakukan prosedur Akun AWS pemulihan. Akun AWS Jika perangkat MFA hilang atau dicuri, perangkat tersebut harus dipisahkan dari prinsipal IAM yang terkait dengannya.

  • Penggunaan beberapa MFAs memungkinkan karyawan Anda di lokasi yang tersebar secara geografis atau bekerja dari jarak jauh untuk menggunakan MFA berbasis perangkat keras untuk mengakses AWS tanpa harus mengoordinasikan pertukaran fisik perangkat keras tunggal antara karyawan.

  • Penggunaan perangkat MFA tambahan untuk prinsipal IAM memungkinkan Anda untuk menggunakan satu atau lebih MFAs untuk penggunaan sehari-hari, sementara juga menjaga perangkat MFA fisik di lokasi fisik yang aman seperti lemari besi atau brankas untuk cadangan dan redundansi.

Catatan

  • Anda tidak dapat meneruskan informasi MFA untuk kunci keamanan FIDO ke operasi AWS STS API untuk meminta kredensi sementara.

  • Anda tidak dapat menggunakan AWS CLI perintah atau operasi AWS API untuk mengaktifkan kunci keamanan FIDO.

  • Anda tidak dapat menggunakan nama yang sama untuk lebih dari satu pengguna root atau perangkat IAM MFA.

Sumber daya tambahan

Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang MFA.

  • Untuk informasi selengkapnya tentang menggunakan MFA untuk mengakses AWS, lihat. MFA mengaktifkan login

  • Anda dapat memanfaatkan Pusat Identitas IAM untuk mengaktifkan akses MFA yang aman ke portal akses AWS Anda, aplikasi terintegrasi IAM Identity Center, dan aplikasi. AWS CLI Untuk informasi selengkapnya, lihat Mengaktifkan MFA di Pusat Identitas IAM.