Multi-Faktor-Authentifizierung (MFA) für IAM

Sie können Ihre MFA-Geräte in der IAM-Konsole verwalten. Die folgenden Optionen sind die MFA-Methoden, die IAM unterstützt.

Hauptschlüssel und Sicherheitsschlüssel basieren auf FIDO-Standards, um einfachere und sicherere Anmeldungen auf allen Geräten Ihrer Benutzer zu ermöglichen. Die FIDO-Authentifizierungsstandards basieren auf der Kryptographie mit öffentlichen Schlüsseln, die eine starke, phishing-resistente Authentifizierung ermöglicht, welche sicherer ist als Passwörter. Hauptschlüssel werden mit Ihrem ausgewählten Hauptschlüssel-Anbieter wie iCloud Keychain, Google Password Manager, 1Password oder Dashlane mithilfe Ihres Fingerabdrucks, Ihrer Gesichts- oder Geräte-PIN erstellt und auf Ihren Geräten für die Anmeldung bei AWS synchronisiert. Kunden können auch gerätegebundene Hauptschlüssel verwenden, auch bekannt als Sicherheitsschlüssel, die von Drittanbietern wie Yubico bereitgestellt werden. Die FIDO Alliance führt eine Liste aller FIDO-zertifizierten Produkte, die mit den FIDO-Spezifikationen kompatibel sind. FIDO-Sicherheitsschlüssel können mehrere Root-Konten und IAM-Benutzer mit einem einzelnen Sicherheitsschlüssel unterstützen. Hauptschlüssel und Sicherheitsschlüssel werden für Root- und IAM-Benutzer in allen AWS-Regionen unterstützt, mit Ausnahme der AWS-Region China (Peking), betrieben von Sinnet, und der AWS-Region (Ningxia), die von NWCD betrieben wird. Weitere Informationen zur Aktivierung von FIDO-Sicherheitsschlüsseln finden Sie unter Aktivieren eines Hauptschlüssels oder Sicherheitsschlüssels.

AWS bietet berechtigten AWS-Kontoinhabern in den USA einen kostenlosen MFA-Sicherheitsschlüssel an. Informationen zur Bestimmung der Berechtigung und zum Bestellen eines Schlüssels finden Sie in der Security-Hub-Konsole.

Virtuelle Authentifizierungs-Apps implementieren den TOTP-Algorithmus (Time-Based One-Time Password) und unterstützen mehrere Token auf einem einzigen Gerät. Virtuelle Authentifikatoren werden für IAM-Benutzer in den Regionen AWS GovCloud (USA) und anderen AWS-Regionen unterstützt. Weitere Informationen zur Aktivierung virtueller Authentifikatoren finden Sie unter Aktivieren eines Geräts für virtuelle Multi-Faktor-Authentifizierung (MFA).

Sie können Apps für Ihr Smartphone aus dem für Ihren Smartphone-Typ spezifischen App-Store installieren. Einige App-Anbieter bieten auch Web- und Desktop-Anwendungen an. Beispiele finden Sie in der folgenden Tabelle.

Hardware-Token unterstützen auch den TOTP-Algorithmus und werden von Thales, einem Drittanbieter, bereitgestellt. Diese Token sind ausschließlich zur Verwendung mit AWS-Konten bestimmt. Weitere Informationen finden Sie unter Aktivieren eines Hardware-MFA-Geräts.

Um die Kompatibilität mit AWS sicherzustellen, müssen Sie Ihre MFA-Token über die Links auf dieser Seite erwerben. Token, die aus anderen Quellen gekauft wurden, funktionieren möglicherweise nicht mit IAM, da AWS eindeutige „Token-Seeds“ benötigt, geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Nur Token-Seeds, die über die Links auf dieser Seite gekauft wurden, werden sicher mit AWS geteilt. Die MFA-Token werden in zwei Formen angeboten: als OTP-Token und als OTP-Displaykarte.

Hardware-TOTP-Token sind mit den Regionen AWS GovCloud (USA) kompatibel und werden von Hypersecu, einem Drittanbieter, bereitgestellt. Diese Token dürfen ausschließlich von IAM-Benutzern mit AWS GovCloud (USA)-Konten verwendet werden.

Um die Kompatibilität mit AWS sicherzustellen, müssen Sie Ihre MFA-Token über die Links auf dieser Seite erwerben. Token, die aus anderen Quellen gekauft wurden, funktionieren möglicherweise nicht mit IAM, da AWS eindeutige „Token-Seeds“ benötigt, geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Nur Token-Seeds, die über die Links auf dieser Seite gekauft wurden, werden sicher mit AWS geteilt. Die MFA-Token werden im OTP-Token-Format angeboten.