Xác thực nhiều yếu tố (MFA) dành cho IAM
MFA là gì?
Các phương pháp MFA hiện có dành cho IAM
Bạn có thể quản lý các thiết bị MFA trong bảng điều khiển IAM. Sau đây là các phương pháp MFA được IAM hỗ trợ.
Khóa mật mã và khóa bảo mật
Khóa mật mã và khóa bảo mật dựa trên các tiêu chuẩn FIDO để cung cấp khả năng đăng nhập dễ dàng và an bảo mật hơn trên các thiết bị của người dùng của bạn. Các tiêu chuẩn xác thực FIDO sử dụng phương thức mật mã của khóa công khai, cung cấp khả năng xác thực mạnh mẽ, chống lừa đảo và bảo mật hơn mật khẩu. Bạn có thể tạo khóa mật mã với nhà cung cấp khóa mật mã do bạn chọn như iCloud Keychain, Google Password Manager, 1Password hoặc Dashlane, sử dụng dấu vân tay, khuôn mặt hoặc mã PIN thiết bị và được đồng bộ hóa trên các thiết bị của bạn để đăng nhập với AWS. Khách hàng cũng có thể sử dụng khóa mật mã dành cho thiết bị, còn gọi là khóa bảo mật, do nhà cung cấp bên thứ ba như Yubico cung cấp. Liên minh FIDO lưu giữ một danh sách gồm tất cả các sản phẩm có chứng nhận của FIDO tương thích với thông số kỹ thuật của FIDO. Khóa bảo mật FIDO có thể hỗ trợ nhiều tài khoản gốc và người dùng IAM bằng một khóa bảo mật duy nhất. Khóa mật mã và khóa bảo mật được hỗ trợ cho người dùng gốc và người dùng IAM tại tất cả các Khu vực AWS, trừ Khu vực AWS Trung Quốc (Bắc Kinh) do Sinnet điều hành và Khu vực AWS (Ninh Hạ) do NWCD điều hành. Để biết thêm thông tin về việc kích hoạt khóa bảo mật FIDO, hãy xem tài liệu Enabling a passkey or security key.
AWS cung cấp khóa bảo mật MFA miễn phí cho chủ sở hữu tài khoản AWS đủ điều kiện tại Hoa Kỳ. Để xác định tính đủ điều kiện và đặt mua khóa, hãy xem, hãy xem bảng điều khiển Trung tâm bảo mật.
Ứng dụng xác thực ảo
Các ứng dụng xác thực ảo triển khai thuật toán mật khẩu một lần dựa trên thời gian (TOTP) và hỗ trợ nhiều token trên một thiết bị duy nhất. Ứng dụng xác thực ảo được hỗ trợ đối với người dùng IAM trong Khu vực AWS GovCloud (Hoa Kỳ) và các Khu vực AWS khác. Để biết thêm thông tin về việc kích hoạt ứng dụng xác thực ảo, hãy xem tài liệu Enabling a virtual multi-factor authentication (MFA) device.
Bạn có thể cài đặt ứng dụng cho điện thoại thông minh từ cửa hàng ứng dụng dành riêng cho loại điện thoại thông minh của bạn. Một số nhà cung cấp ứng dụng cũng có ứng dụng web và ứng dụng dành cho máy tính. Tham khảo ví dụ trong bảng sau.
Token TOTP dạng phần cứng
Token dạng phần cứng cũng hỗ trợ thuật toán TOTP và được cung cấp bởi Thales, một nhà cung cấp bên thứ ba. Các token này chỉ dùng được với tài khoản AWS. Để biết thêm thông tin, vui lòng tham khảo tài liệu Enabling a hardware MFA device.
Để đảm bảo khả năng tương thích với AWS, bạn phải mua token MFA của mình thông qua các liên kết trên trang này. Token mua từ các nguồn khác có thể không hoạt động với IAM vì AWS yêu cầu “hạt giống token” duy nhất, các khóa bí mật được tạo tại thời điểm tạo token. Chỉ các token được mua thông qua các liên kết trên trang này mới được chia sẻ hạt giống token của chúng một cách an toàn với AWS. Token MFA được cung cấp theo hai dạng: token OTP và thẻ hiển thị OTP.
Token TOTP dạng phần cứng cho Khu vực AWS GovCloud (Hoa Kỳ)
Token TOTP dạng phần cứng tương thích với Khu vực AWS GovCloud (Hoa Kỳ) và được cung cấp bởi Hypersecu, một nhà cung cấp bên thứ ba. Các token này chỉ dành riêng cho người dùng IAM có tài khoản AWS GovCloud (Hoa Kỳ).
Để đảm bảo khả năng tương thích với AWS, bạn phải mua token MFA của mình thông qua các liên kết trên trang này. Token mua từ các nguồn khác có thể không hoạt động với IAM vì AWS yêu cầu “hạt giống token” duy nhất, các khóa bí mật được tạo tại thời điểm tạo token. Chỉ các token được mua thông qua các liên kết trên trang này mới được chia sẻ hạt giống token của chúng một cách an toàn với AWS. Các token MFA được cung cấp theo định dạng token OTP.