Authentification multifactorielle (MFA) pour IAM

Qu'est-ce que la MFA ?

L’ authentification multifactorielle (MFA) AWS est une bonne pratique de gestion des identités et des accès AWS (AWS IAM) qui nécessite un deuxième facteur d’authentification en plus des informations d’identification (nom d’utilisateur et mot de passe). Vous pouvez activer la MFA au niveau du compte AWS pour les utilisateurs IAM et racine que vous avez créés dans votre compte.  
 
AWS étend l’admissibilité à son programme de clés de sécurité MFA gratuites. Vérifiez votre éligibilité et commandez votre clé MFA gratuite.
 
Lorsque la MFA est activée, tout utilisateur qui se connecte à la console de gestion AWS est invité à saisir son nom d’utilisateur et son mot de passe, des facteurs qui relèvent de sa connaissance, ainsi qu’un code d’authentification provenant de son appareil MFA, un facteur qui relève de sa propriété (ou s’il utilise un authentificateur biométrique, un facteur qui relève de sa propre personne). Ensemble, ces facteurs améliorent la sécurité de vos comptes et de vos ressources AWS.
 
Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lorsqu'ils accèdent à AWS. Vos utilisateurs peuvent utiliser un fournisseur d'identité pour se fédérer dans AWS, où ils peuvent s'authentifier à l'aide de leurs informations d'identification d'entreprise et de leurs configurations MFA. Pour gérer l’accès à AWS et aux applications métier, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez le guide de l’utilisateur IAM Identity Center.
 
Vous trouverez ci-dessous les options MFA disponibles que vous pouvez utiliser avec la mise en œuvre de la MFA IAM. Vous pouvez télécharger des applications d'authentification virtuelle via les liens fournis ou vous procurer un appareil MFA matériel auprès du fabricant concerné. Une fois que vous avez obtenu un appareil MFA matériel ou virtuel pris en charge, AWS ne facture aucuns frais supplémentaires pour l'utilisation de la MFA.

Méthodes MFA disponibles pour IAM

Vous pouvez gérer vos appareils MFA dans la console IAM. Les options suivantes sont les méthodes MFA prises en charge par IAM.

Clés d'accès et clés de sécurité

Les clés d'accès et les clés de sécurité sont basées sur les normes FIDO afin de permettre des connexions plus faciles et plus sécurisées sur les appareils de vos utilisateurs. Les normes d'authentification FIDO sont basées sur la cryptographie à clé publique, qui permet une authentification forte et résistante à l'hameçonnage qui est plus sûre que les mots de passe. Les clés d'accès sont créées avec le fournisseur de clés que vous avez choisi, tel que iCloud Keychain, Google Password Manager, 1Password ou Dashlane, à l'aide de votre empreinte digitale, de votre visage ou du code PIN de votre appareil, et elles sont synchronisées sur tous vos appareils pour vous connecter à AWS. Les clients peuvent également utiliser des clés d'accès liées à l'appareil, également appelées clés de sécurité, fournies par des fournisseurs tiers tels que Yubico. L’Alliance FIDO tient à jour une liste de tous les produits certifiés FIDO qui sont compatibles avec les spécifications FIDO. Une seule clé de sécurité FIDO peut prendre en charge plusieurs comptes racines et utilisateurs IAM. Les clés d'accès et les clés de sécurité sont prises en charge pour les utilisateurs racines et IAM dans toutes les Régions AWS, à l'exception de la Région AWS Chine (Pékin), gérée par Sinnet, et de la Région AWS (Ningxia), gérée par NWCD. Pour plus d’informations sur l’activation des clés de sécurité FIDO, consultez Enabling a passkey or security key.

AWS propose une clé de sécurité MFA gratuite aux titulaires de comptes AWS éligibles aux États-Unis. Pour déterminer votre éligibilité et commander une clé, consultez la console Security Hub.

Applications d'authentification virtuelle

Les applications d’authentification virtuelle utilisent l’algorithme de mot de passe unique à durée limitée (TOTP) et prennent en charge plusieurs jetons sur un seul appareil. Les authentificateurs virtuels sont pris en charge pour les utilisateurs IAM dans les régions AWS GovCloud (US) et dans d’autres Régions AWS. Pour plus d’informations sur l’activation des authentificateurs virtuels, consultez Enabling a virtual multi-factor authentication (MFA) device.

Vous pouvez installer des applications pour smartphone à partir du magasin d'applications correspondant à votre type de smartphone. Certains fournisseurs d'applications proposent également des applications Web et de bureau. Vous trouverez des exemples dans le tableau suivant.

Android Twilio Authy Authenticator, Duo Mobile, Microsoft Authenticator, Google Authenticator, Symantec VIP
iOS Twilio Authy Authenticator, Duo Mobile, Microsoft Authenticator, Google Authenticator, Symantec VIP

Jetons TOTP matériels

Les jetons matériels prennent également en charge l’algorithme TOTP et sont fournis par Thales, un fournisseur tiers. Ces jetons sont conçus exclusivement pour une utilisation avec les comptes AWS. Pour plus d’informations, consultez Enabling a hardware MFA device.

Pour garantir la compatibilité avec AWS, vous devez acheter vos jetons MFA via les liens de cette page. Les jetons achetés auprès d'autres sources peuvent ne pas fonctionner avec IAM car AWS nécessite des « graines de jetons » uniques, des clés secrètes générées au moment de la production des jetons. Seuls les jetons achetés via les liens de cette page voient leurs graines de jetons partagées de manière sécurisée avec AWS. Les jetons MFA sont proposés sous deux formes : le jeton OTP et la carte d’affichage OTP.

Jetons matériels TOTP pour les régions AWS GovCloud (US)

Les jetons matériels TOTP sont compatibles avec les Régions AWS GovCloud (US) et sont fournis par Hypersecu, un fournisseur tiers. Ces jetons sont conçus exclusivement pour les utilisateurs IAM disposant de comptes AWS GovCloud (US).

Pour garantir la compatibilité avec AWS, vous devez acheter vos jetons MFA via les liens de cette page. Les jetons achetés auprès d'autres sources peuvent ne pas fonctionner avec IAM car AWS nécessite des « graines de jetons » uniques, des clés secrètes générées au moment de la production des jetons. Seuls les jetons achetés via les liens de cette page voient leurs graines de jetons partagées de manière sécurisée avec AWS. Les jetons MFA sont proposés au format de jeton OTP.