Autenticazione a più fattori (MFA) per IAM

Cos'è MFA?

L' autenticazione a più fattori (MFA) AWS è una best practice di AWS Identity and Access Management (IAM) che richiede un secondo fattore di autenticazione in aggiunta alle credenziali di accesso nome utente e password. È possibile attivare la MFA a livello di account AWS e per gli utenti root e IAM creati nell'account.  
 
AWS sta ampliando l'idoneità per il proprio programma gratuito di chiavi di sicurezza per la MFA. Verifica la tua idoneità e ordina la tua chiave MFA gratuita.
 
Se la MFA è abilitata, quando un utente accede alla Console di gestione AWS gli vengono richiesti nome utente e password ( qualcosa che conosce) e un codice di autenticazione dal proprio dispositivo MFA ( qualcosa che possiede) oppure un suo segno distintivo (se ha abilitato un autenticatore con biometria). Presi insieme, questi fattori migliorano la sicurezza dei tuoi account e delle tue risorse AWS.
 
Ti consigliamo di richiedere agli utenti umani di utilizzare credenziali temporanee per accedere ad AWS. Gli utenti possono utilizzare un provider di identità per eseguire la federazione in AWS, dove autenticarsi con le credenziali aziendali e le configurazioni MFA. Per gestire l'accesso ad AWS e alle applicazioni aziendali, ti consigliamo di utilizzare Centro identità AWS IAM. Per ulteriori informazioni, consulta la Guida per l'utente di Centro identità IAM.
 
Consulta le seguenti opzioni MFA disponibili utilizzabili con la tua implementazione MFA IAM. Scarica app di autenticazione virtuale tramite i link forniti, oppure acquisisci un dispositivo MFA hardware dal rispettivo produttore. Dopo aver acquisito un dispositivo MFA virtuale o hardware supportato, AWS non addebita costi aggiuntivi per l'utilizzo della MFA.

Metodi MFA disponibili per IAM

Puoi gestire i dispositivi MFA nella console IAM. Le seguenti opzioni sono i metodi MFA supportati da IAM.

Passkey e chiavi di sicurezza

Le passkey e le chiavi di sicurezza si basano sugli standard FIDO per fornire accessi più semplici e sicuri su tutti i dispositivi dell'utente. Gli standard di autenticazione FIDO sono basati sulla crittografia della chiave pubblica. Questa consente un'autenticazione forte, resistente al phishing e più sicura delle password. Le passkey vengono create con il provider di passkey prescelto, ad esempio iCloud Keychain, Google Password Manager, 1Password o Dashlane utilizzando l'impronta digitale, il riconoscimento facciale o il PIN del dispositivo e vengono sincronizzate su tutti i dispositivi per accedere con AWS. Inoltre, i clienti possono utilizzare passkey associate a un dispositivo, anche note come chiavi di sicurezza, fornite da provider di terze parti come Yubico. La FIDO Alliance mantiene un elenco di tutti i prodotti certificati FIDO compatibili con le specifiche FIDO. Le chiavi di sicurezza FIDO supportano più account root e utenti IAM utilizzando un'unica chiave di sicurezza. Le passkey e le chiavi di sicurezza sono supportate per gli utenti root e IAM in tutte le regioni AWS, ad eccezione della regione AWS Cina (Pechino), gestita da Sinnet, e della regione AWS (Ningxia), gestita da NWCD. Per ulteriori informazioni sull'attivazione delle chiavi di sicurezza FIDO, consulta la pagina Abilitazione di una passkey o chiave di sicurezza.

AWS offre una chiave di sicurezza MFA gratuita ai titolari di account AWS idonei negli Stati Uniti. Per determinare l'idoneità e ordinare una chiave, consulta la console della Centrale di sicurezza.

App di autenticazione virtuale

Le app di autenticazione virtuale implementano l'algoritmo di password monouso e supportano più token su un singolo dispositivo. Gli autenticatori virtuali sono supportati per gli utenti IAM nelle Regioni AWS GovCloud (Stati Uniti) e in altre Regioni AWS. Per ulteriori informazioni sull'abilitazione di autenticatori virtuali, consulta Abilitazione di un dispositivo di autenticazione a più fattori (MFA) virtuale.

È possibile installare app per il tuo smartphone dallo store di app specifico del tuo tipo di dispositivo. Alcuni provider di app dispongono anche di applicazioni Web e desktop. Vedi la tabella di seguito per gli esempi.

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

Token TOTP hardware

I token monouso supportano anche l'algoritmo di password monouso e sono forniti da Thales, un provider di terze parti. Questi token possono essere utilizzati esclusivamente con gli account AWS. Per ulteriori informazioni, consulta la pagina Abilitazione di un dispositivo MFA hardware.

Per garantire la compatibilità con AWS, devi acquistare i token MFA tramite i link in questa pagina. I token acquistati da altre fonti potrebbero non funzionare con IAM perché AWS richiede "token seed" unici, chiavi segrete generate al momento della produzione dei token. Solo i token acquistati tramite i link in questa pagina hanno i relativi token seed condivisi in modo sicuro con AWS. I token MFA sono offerti in due forme: il token OTP e la scheda display OTP.

Token TOTP hardware monouso per le Regioni AWS GovCloud (Stati Uniti)

I token monouso sono compatibili con le Regioni AWS GovCloud (Stati Uniti) e sono forniti da Hypersecu, un provider di terze parti. Questi token possono essere utilizzati esclusivamente dagli utenti IAM con account AWS GovCloud (Stati Uniti).

Per garantire la compatibilità con AWS, devi acquistare i token MFA tramite i link in questa pagina. I token acquistati da altre fonti potrebbero non funzionare con IAM perché AWS richiede "token seed" unici, chiavi segrete generate al momento della produzione dei token. Solo i token acquistati tramite i link in questa pagina hanno i relativi token seed condivisi in modo sicuro con AWS. I token MFA sono offerti nel formato token OTP.