การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) สำหรับ IAM

MFA คืออะไร

การตรวจสอบสิทธิ์หลายปัจจัยของ AWS (MFA) เป็นแนวทางปฏิบัติที่ดีที่สุดของ AWS Identity and Access Management (IAM) ที่ต้องมีปัจจัยการตรวจสอบสิทธิ์ที่สองนอกเหนือจากข้อมูลรับรองการลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน คุณสามารถเปิดใช้งาน MFA ได้ที่ระดับบัญชี AWS สําหรับผู้ใช้ที่มีสิทธิ์ใช้งานสูงสุดและผู้ใช้ IAM ที่คุณสร้างไว้ในบัญชีของคุณ  
 
AWS กําลังขยายสิทธิ์เข้าร่วมโปรแกรมคีย์ความปลอดภัยของ MFA ฟรี ตรวจสอบสิทธิ์เข้าร่วมของคุณและสั่งซื้อ คีย์ของ MFA ฟรีของคุณ
 
เมื่อเปิดใช้งาน MFA เมื่อผู้ใช้ลงชื่อเข้าใช้ AWS Management Console ระบบจะแจ้งให้ป้อนชื่อผู้ใช้และรหัสผ่าน ซึ่งเป็น สิ่งที่พวกเขารู้ และรหัสยืนยันตัวตนจากอุปกรณ์ MFA ซึ่งเป็น สิ่งที่พวกเขามี (หรือหากผู้ใช้ใช้ตัวตรวจสอบสิทธิ์ที่เปิดใช้ข้อมูลไบโอเมตริกส์ สิ่งที่พวกเขาใช้) เมื่อรวมกัน ปัจจัยเหล่านี้จะปรับปรุงความปลอดภัยให้แก่บัญชีและทรัพยากร AWS ของคุณ
 
เราขอแนะนําให้คุณกําหนดให้ผู้ใช้ที่เป็นมนุษย์ของคุณใช้ข้อมูลประจำตัวชั่วคราวเมื่อเข้าถึง AWS ผู้ใช้ของคุณสามารถใช้ผู้ให้บริการข้อมูลระบุตัวตนเพื่อรวมศูนย์เข้ากับ AWS ที่ซึ่งพวกเขาสามารถยืนยันตัวตนด้วยข้อมูลประจําตัวขององค์กรและการกําหนดค่า MFA ได้ หากต้องการจัดการการเข้าถึงแอปพลิเคชันของ AWS และแอปพลิเคชันสำหรับธุรกิจ เราขอแนะนําให้คุณใช้ AWS IAM Identity Center สําหรับข้อมูลเพิ่มเติม โปรดดู คู่มือผู้ใช้ IAM Identity Center
 
ดูตัวเลือก MFA ที่พร้อมให้บริการต่อไปนี้ซึ่งคุณสามารถใช้กับการปรับใช้ IAM MFA ของคุณ คุณสามารถดาวน์โหลดแอปยืนยันตัวตนเสมือนผ่านลิงก์ที่ให้ไว้ หรือคุณสามารถรับอุปกรณ์ฮาร์ดแวร์ของ MFA จากผู้ผลิตที่เกี่ยวข้อง หลังจากที่คุณได้รับอุปกรณ์ของ MFA แบบเสมือนหรือแบบฮาร์ดแวร์ที่รองรับแล้ว AWS จะไม่เรียกเก็บค่าธรรมเนียมเพิ่มเติมในการใช้งาน MFA

วิธี MFA ที่ใช้งานได้กับ IAM

คุณสามารถจัดการอุปกรณ์ของ MFA ของคุณได้ในคอนโซล IAM ตัวเลือกต่อไปนี้เป็นวิธี MFA ที่ IAM รองรับ

พาสคีย์และคีย์ความปลอดภัย

พาสคีย์และคีย์ความปลอดภัยอยู่บนพื้นฐานของมาตรฐาน FIDO เพื่อให้การลงชื่อเข้าใช้ได้ง่ายและปลอดภัยยิ่งขึ้นในอุปกรณ์ของผู้ใช้ของคุณ มาตรฐานการยืนยันตัวตน FIDO เป็นไปตามการเข้ารหัสคีย์สาธารณะซึ่งช่วยให้การยืนยันตัวตนรัดกุมและป้องกันการฟิชชิง โดยมีความปลอดภัยมากกว่ารหัสผ่าน พาสคีย์ถูกสร้างขึ้นด้วยผู้ให้บริการรหัสผ่านที่คุณเลือก เช่น iCloud Keychain, Google Password Manager, 1Password หรือ Dashlane โดยใช้ลายนิ้วมือ ใบหน้า หรือ PIN ของอุปกรณ์ของคุณ และจะซิงค์กับอุปกรณ์ของคุณเพื่อลงชื่อเข้าใช้กับ AWS ลูกค้ายังสามารถใช้พาสคีย์ที่ผูกไว้กับอุปกรณ์ หรือที่เรียกว่าคีย์ความปลอดภัย ซึ่งจัดทำโดยผู้ให้บริการบุคคลที่สามเช่น Yubico FIDO Alliance เก็บรายการผลิตภัณฑ์ที่ได้รับการรับรองจาก FIDO ทั้งหมดซึ่งเข้ากันได้กับข้อมูลจำเพาะของ FIDO คีย์ความปลอดภัย FIDO สามารถรองรับหลายบัญชีที่มีสิทธิ์ใช้งานสูงสุดและหลายผู้ใช้ IAM โดยใช้คีย์ความปลอดภัยเดียว รหัสผ่านและคีย์ความปลอดภัยได้รับการสนับสนุนสำหรับผู้ใช้ root และ IAM ใน AWS Regions ทั้งหมดยกเว้นรีเจี้ยน AWS จีน (ปักกิ่ง) ซึ่งดำเนินการโดย Sinnet และรีเจี้ยน AWS (หนิงเซี่ย) ซึ่งดำเนินการโดย NWCD สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานคีย์ความปลอดภัย FIDO ดูที่ การเปิดใช้งานพาสคีย์หรือคีย์ความปลอดภัย

AWS เสนอคีย์ความปลอดภัย MFA ฟรี ให้กับเจ้าของบัญชี AWS ที่มีสิทธิ์ในสหรัฐอเมริกา หากต้องการตรวจสอบสิทธิ์เข้าร่วมและสั่งซื้อคีย์ ดูที่คอนโซล Security Hub

แอปยืนยันตัวตนเสมือน

แอปยืนยันตัวตนเสมือนใช้อัลกอริธึม รหัสผ่านแบบใช้ครั้งเดียวที่อิงตามเวลา (TOTP) และรองรับโทเค็นหลายรายการบนอุปกรณ์เดียว ตัวยืนยันตัวตนเสมือนรองรับสําหรับผู้ใช้ IAM ในRegion AWS GovCloud (สหรัฐฯ) และใน AWS Region อื่นๆ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานแอปยืนยันตัวตนเสมือน ดูที่ การเปิดใช้งานอุปกรณ์ยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) เสมือน

คุณสามารถติดตั้งแอปสําหรับสมาร์ทโฟนของคุณได้จาก App Store เฉพาะตามประเภทของสมาร์ทโฟนของคุณ ผู้ให้บริการแอปบางรายยังมีเว็บและแอปพลิเคชันบนเดสก์ท็อปที่พร้อมให้บริการ ดูตัวอย่างในตารางต่อไปนี้

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

โทเค็นฮาร์ดแวร์ของ TOTP

โทเค็นฮาร์ดแวร์ยังรองรับอัลกอริทึม TOTPและให้บริการโดย Thales ซึ่งเป็นผู้ให้บริการภายนอก โทเค็นเหล่านี้มีไว้ใช้เฉพาะกับบัญชี AWS เท่านั้น สําหรับข้อมูลเพิ่มเติม โปรดดูการเปิดใช้งานอุปกรณ์ฮาร์ดแวร์ของ MFA

คุณต้องซื้อโทเค็น MFA ผ่านลิงก์ในหน้านี้เพื่อให้แน่ใจว่าจะทำงานร่วมกับ AWS ได้ โทเค็นที่ซื้อจากแหล่งที่มาอื่นอาจไม่สามารถทำงานร่วมกับ IAM เนื่องจาก AWS กำหนดให้ใช้ “Seed ของโทเค็น” เฉพาะ ซื่องเป็นคีย์ลับที่สร้างขึ้นเมื่อผลิดโทเค็น มีเพียงโทเค็นที่ซื้อผ่านลิงก์ในหน้านี้เท่านั้นที่แชร์ Seed ของโทเค็นกับ AWS อย่างปลอดภัย โทเค็น MFA จะมีสองรูปแบบ ได้แก่ โทเค็น OTP และการ์ดจอแสดงผล OTP

โทเค็นฮาร์ดแวร์ของ TOTP สําหรับ Region AWS GovCloud (สหรัฐฯ)

โทเค็นฮาร์ดแวร์ TOTP เข้ากันได้กับ AWS GovCloud (US) Regions และจัดทำโดย Hypersecu ซึ่งเป็นผู้ให้บริการบุคคลที่สาม โทเค็นเหล่านี้มีไว้สําหรับผู้ใช้ IAM ที่มีบัญชี AWS GovCloud (สหรัฐฯ) เท่านั้น

คุณต้องซื้อโทเค็น MFA ผ่านลิงก์ในหน้านี้เพื่อให้แน่ใจว่าจะทำงานร่วมกับ AWS ได้ โทเค็นที่ซื้อจากแหล่งที่มาอื่นอาจไม่สามารถทำงานร่วมกับ IAM เนื่องจาก AWS กำหนดให้ใช้ “Seed ของโทเค็น” เฉพาะ ซื่องเป็นคีย์ลับที่สร้างขึ้นเมื่อผลิดโทเค็น มีเพียงโทเค็นที่ซื้อผ่านลิงก์ในหน้านี้เท่านั้นที่แชร์ Seed ของโทเค็นกับ AWS อย่างปลอดภัย โทเค็น MFA จะอยู่ในรูปแบบโทเค็น OTP