Autenticazione a più fattori (MFA) per IAM
Cos'è MFA?
Metodi MFA disponibili per IAM
Puoi gestire i dispositivi MFA nella console IAM. Le seguenti opzioni sono i metodi MFA supportati da IAM.
Passkey e chiavi di sicurezza
Le passkey e le chiavi di sicurezza si basano sugli standard FIDO per fornire accessi più semplici e sicuri su tutti i dispositivi dell'utente. Gli standard di autenticazione FIDO sono basati sulla crittografia della chiave pubblica. Questa consente un'autenticazione forte, resistente al phishing e più sicura delle password. Le passkey vengono create con il provider di passkey prescelto, ad esempio iCloud Keychain, Google Password Manager, 1Password o Dashlane utilizzando l'impronta digitale, il riconoscimento facciale o il PIN del dispositivo e vengono sincronizzate su tutti i dispositivi per accedere con AWS. Inoltre, i clienti possono utilizzare passkey associate a un dispositivo, anche note come chiavi di sicurezza, fornite da provider di terze parti come Yubico. La FIDO Alliance mantiene un elenco di tutti i prodotti certificati FIDO compatibili con le specifiche FIDO. Le chiavi di sicurezza FIDO supportano più account root e utenti IAM utilizzando un'unica chiave di sicurezza. Le passkey e le chiavi di sicurezza sono supportate per gli utenti root e IAM in tutte le regioni AWS, ad eccezione della regione AWS Cina (Pechino), gestita da Sinnet, e della regione AWS (Ningxia), gestita da NWCD. Per ulteriori informazioni sull'attivazione delle chiavi di sicurezza FIDO, consulta la pagina Abilitazione di una passkey o chiave di sicurezza.
AWS offre una chiave di sicurezza MFA gratuita ai titolari di account AWS idonei negli Stati Uniti. Per determinare l'idoneità e ordinare una chiave, consulta la console della Centrale di sicurezza.
App di autenticazione virtuale
Le app di autenticazione virtuale implementano l'algoritmo di password monouso e supportano più token su un singolo dispositivo. Gli autenticatori virtuali sono supportati per gli utenti IAM nelle Regioni AWS GovCloud (Stati Uniti) e in altre Regioni AWS. Per ulteriori informazioni sull'abilitazione di autenticatori virtuali, consulta Abilitazione di un dispositivo di autenticazione a più fattori (MFA) virtuale.
È possibile installare app per il tuo smartphone dallo store di app specifico del tuo tipo di dispositivo. Alcuni provider di app dispongono anche di applicazioni Web e desktop. Vedi la tabella di seguito per gli esempi.
Token TOTP hardware
I token monouso supportano anche l'algoritmo di password monouso e sono forniti da Thales, un provider di terze parti. Questi token possono essere utilizzati esclusivamente con gli account AWS. Per ulteriori informazioni, consulta la pagina Abilitazione di un dispositivo MFA hardware.
Per garantire la compatibilità con AWS, devi acquistare i token MFA tramite i link in questa pagina. I token acquistati da altre fonti potrebbero non funzionare con IAM perché AWS richiede "token seed" unici, chiavi segrete generate al momento della produzione dei token. Solo i token acquistati tramite i link in questa pagina hanno i relativi token seed condivisi in modo sicuro con AWS. I token MFA sono offerti in due forme: il token OTP e la scheda display OTP.
Token TOTP hardware monouso per le Regioni AWS GovCloud (Stati Uniti)
I token monouso sono compatibili con le Regioni AWS GovCloud (Stati Uniti) e sono forniti da Hypersecu, un provider di terze parti. Questi token possono essere utilizzati esclusivamente dagli utenti IAM con account AWS GovCloud (Stati Uniti).
Per garantire la compatibilità con AWS, devi acquistare i token MFA tramite i link in questa pagina. I token acquistati da altre fonti potrebbero non funzionare con IAM perché AWS richiede "token seed" unici, chiavi segrete generate al momento della produzione dei token. Solo i token acquistati tramite i link in questa pagina hanno i relativi token seed condivisi in modo sicuro con AWS. I token MFA sono offerti nel formato token OTP.