AWS Autenticazione a più fattori in IAM - AWS Identity and Access Management
Tipi di MFASuggerimenti per MFARisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Autenticazione a più fattori in IAM

Per una maggiore sicurezza, ti consigliamo di configurare l'autenticazione a più fattori (MFA) per proteggere AWS le tue risorse. Puoi abilitare l'MFA per tutti Account AWS, inclusi gli account autonomi, gli account Utente root dell'account AWS di gestione e gli account dei membri, nonché per i tuoi utenti IAM.

La MFA viene applicata a tutti i tipi di account del relativo utente root. Per ulteriori informazioni, consulta Proteggi le AWS Organizations credenziali utente root del tuo account.

Quando abiliti MFA per l'utente root, questa impostazione influisce solo sulle credenziali dell'utente root. Gli utenti IAM nell'account sono identità distinte con proprie credenziali e ogni identità ha la propria configurazione MFA. Per ulteriori informazioni sull'utilizzo della tecnologia MFA per proteggere l'utente root, vedere. Autenticazione a più fattori per Utente root dell'account AWS

I tuoi utenti Utente root dell'account AWS e IAM possono registrare fino a otto dispositivi MFA di qualsiasi tipo. La registrazione di più dispositivi MFA può offrire flessibilità e contribuire a ridurre il rischio di interruzione dell'accesso in caso di smarrimento o guasto di un dispositivo. È necessario un solo dispositivo MFA per accedere alla AWS Management Console o creare una sessione tramite la AWS CLI.

Nota

Ti consigliamo di richiedere agli utenti umani di utilizzare credenziali temporanee per l'accesso. AWS Hai preso in considerazione l'idea di utilizzarlo AWS IAM Identity Center? Puoi utilizzare IAM Identity Center per gestire centralmente l'accesso a più account Account AWS e fornire agli utenti un accesso Single Sign-On protetto da MFA a tutti gli account assegnati da un'unica posizione. Con IAM Identity Center puoi creare e gestire le identità degli utenti in IAM Identity Center o connetterti facilmente al tuo attuale gestore dell'identità digitale (IdP) compatibile con SAML 2.0. Per ulteriori informazioni, consulta Cos'è IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center .

La MFA aggiunge una maggiore sicurezza che richiede agli utenti di fornire un'autenticazione unica da un meccanismo AWS MFA supportato oltre alle credenziali di accesso quando accedono a siti Web o servizi. AWS

Tipi di MFA

AWS supporta i seguenti tipi di MFA:

Passkey e chiavi di sicurezza

AWS Identity and Access Management supporta passkey e chiavi di sicurezza per MFA. In base agli standard FIDO, le passkey utilizzano la crittografia a chiave pubblica per fornire un'autenticazione forte e resistente al phishing, più sicura delle password. AWS supporta due tipi di passkey: passkey legate al dispositivo (chiavi di sicurezza) e passkey sincronizzate.

  • Chiavi di sicurezza: si tratta di dispositivi fisici, come un YubiKey, utilizzati come secondo fattore di autenticazione. Una singola chiave di sicurezza può supportare più account utente root e utenti IAM.

  • Passkey sincronizzate: come secondo fattore utilizzano gestori di credenziali di provider come Google, Apple, account Microsoft e servizi di terze parti come 1Password, Dashlane e Bitwarden come secondo fattore.

Puoi utilizzare gli autenticatori biometrici integrati, come Touch ID su Apple MacBooks, per sbloccare il gestore delle credenziali e accedere a. AWS Le passkey vengono create con il provider scelto utilizzando l'impronta digitale, il viso o il PIN del dispositivo. Puoi sincronizzare le passkey tra i tuoi dispositivi per facilitare gli accessi e migliorare l'usabilità e la recuperabilità. AWS

IAM non supporta la registrazione locale delle passkey per Windows Hello. Per creare e utilizzare le passkey, gli utenti Windows devono utilizzare l'autenticazione tra dispositivi (CDA). Puoi utilizzare una passkey CDA da un dispositivo, ad esempio un dispositivo mobile o una chiave di sicurezza hardware, per accedere su un altro dispositivo, ad esempio un laptop.

FIDO Alliance mantiene un elenco di tutti i prodotti certificati FIDO compatibili con le specifiche FIDO.

Per ulteriori informazioni sull'abilitazione delle passkey e delle chiavi di sicurezza, consulta Abilitare una passkey o una chiave di sicurezza per l'utente root (console).

Applicazioni di autenticazione virtuale

Un'applicazione di autenticazione virtuale che viene eseguita su un telefono o altro dispositivo e simula un dispositivo fisico. Le app di autenticazione virtuale implementano l'algoritmo TOTP (password monouso) e supportano più token su un singolo dispositivo. L'utente deve immettere un codice valido dal dispositivo quando richiesto durante la procedura di accesso. Ogni token assegnato a un utente deve essere univoco. Per autenticarsi, un utente non può digitare un codice dal token di un altro utente.

È consigliabile utilizzare un dispositivo MFA virtuale nell'attesa dell'approvazione di un acquisto hardware o della consegna del dispositivo hardware. Per un elenco di alcune delle app supportate che puoi utilizzare come dispositivi MFA virtuali, consulta la pagina Autenticazione a più fattori (MFA).

Per istruzioni sulla configurazione di un dispositivo MFA virtuale per un utente IAM, consulta Assegna un MFA dispositivo virtuale nel AWS Management Console.

Nota

I dispositivi MFA virtuali non assegnati nel Account AWS tuo vengono eliminati quando aggiungi nuovi dispositivi MFA virtuali tramite o durante AWS Management Console la procedura di accesso. I dispositivi MFA virtuali non assegnati sono dispositivi presenti nell'account ma non vengono utilizzati dall'utente root dell'account o dagli utenti IAM per il processo di accesso. Vengono eliminati in modo da poter aggiungere nuovi dispositivi MFA virtuali al tuo account. Consente inoltre di riutilizzare i nomi dei dispositivi.

  • Per visualizzare i dispositivi MFA virtuali non assegnati nel tuo account, puoi utilizzare list-virtual-mfa-devices AWS CLI il comando o la chiamata API.

  • Per disattivare un dispositivo MFA virtuale, puoi utilizzare deactivate-mfa-device AWS CLI il comando o la chiamata API. Il dispositivo verrà disassegnato.

  • Per collegare un dispositivo MFA virtuale non assegnato all' Account AWS utente root o agli utenti IAM, è necessario il codice di autenticazione generato dal dispositivo insieme al comando o enable-mfa-deviceAWS CLIalla chiamata API.

Token TOTP hardware

Un dispositivo hardware che genera un codice numerico a sei cifre basato sull'algoritmo con password monouso. L'utente deve immettere un codice valido dal dispositivo su una seconda pagina Web durante la procedura di accesso.

Questi token vengono utilizzati esclusivamente con. Account AWS Puoi utilizzare solo token con i loro token seed unici condivisi in modo sicuro. AWS I token seed sono chiavi segrete generate al momento della produzione dei token. I token acquistati da altre origini non funzioneranno con IAM. Per garantire la compatibilità, è necessario acquistare il dispositivo hardware MFA da uno dei seguenti link: token OTP o scheda video OTP.

  • Ogni dispositivo MFA assegnato a un utente deve essere univoco. Per essere autenticati, gli utenti non possono digitare un codice generato dal dispositivo di un altro utente. Per informazioni sui dispositivi MFA hardware supportati, consulta Autenticazione a più fattori (MFA).

  • Se desideri utilizzare un dispositivo MFA fisico, ti consigliamo di utilizzare le chiavi di sicurezza come alternativa ai dispositivi TOTP hardware. Le chiavi di sicurezza non richiedono batterie, sono resistenti al phishing e supportano più utenti su un singolo dispositivo.

Puoi abilitare una passkey o una chiave di sicurezza AWS Management Console solo dall'API, non dall' AWS CLI API. AWS Prima di abilitare una chiave di sicurezza, è necessario disporre di un accesso fisico al dispositivo.

Per le istruzioni di configurazione di un token TOTP hardware per un utente IAM, consulta Assegnare un token TOTP hardware nella AWS Management Console.

Nota

La MFA basata su SMS ha terminato il supporto per l'abilitazione dell'autenticazione a più fattori (AWS MFA) tramite SMS. Consigliamo ai clienti con utenti IAM che utilizzano la MFA basata su SMS di passare a uno dei seguenti metodi alternativi di autenticazione a più fattori: passkey o chiave di sicurezza, dispositivo MFA virtuale (basato su software) o dispositivo MFA basato su hardware. Puoi identificare gli utenti nel tuo account con un dispositivo MFA SMS assegnato. Nella console IAM, seleziona Utenti dal pannello di navigazione e cerca gli utenti con l'opzione SMS nella colonna MFA della tabella.

Suggerimenti per MFA

Per proteggere le tue AWS identità, segui questi consigli per l'autenticazione MFA.

  • Ti consigliamo di abilitare più dispositivi MFA per gli utenti IAM del Utente root dell'account AWS tuo. Account AWS In questo modo puoi alzare il livello di sicurezza del tuo sistema Account AWS e semplificare la gestione dell'accesso a utenti con privilegi elevati, come. Utente root dell'account AWS

  • Puoi registrare fino a otto dispositivi MFA di qualsiasi combinazione dei tipi di MFA attualmente supportati con i tuoi Utente root dell'account AWS utenti e IAM. Con più dispositivi MFA, è sufficiente un solo dispositivo MFA per accedere AWS Management Console o creare una sessione tramite l' AWS CLI as quell'utente. Per abilitare o disabilitare un dispositivo MFA aggiuntivo, un utente IAM deve prima autenticarsi con un dispositivo MFA esistente.

  • In caso di smarrimento, furto o inaccessibilità di un dispositivo MFA, è possibile utilizzare uno dei dispositivi MFA rimanenti per accedervi senza eseguire la Account AWS procedura di ripristino. Account AWS In caso di smarrimento o furto di un dispositivo MFA, consigliamo di dissociare il dispositivo dal principale IAM a cui era associato.

  • L'uso di più dispositivi MFAs consente ai dipendenti che si trovano in località geograficamente disperse o che lavorano in remoto di utilizzare l'MFA basata su hardware per accedere AWS senza dover coordinare lo scambio fisico di un singolo dispositivo hardware tra i dipendenti.

  • L'uso di dispositivi MFA aggiuntivi per i principali IAM consente di utilizzarne uno o più MFAs per l'uso quotidiano, mantenendo allo stesso tempo i dispositivi MFA fisici in un luogo fisico sicuro come un deposito o sicuro per il backup e la ridondanza.

Note

  • Non è possibile passare le informazioni MFA per una chiave di sicurezza FIDO alle operazioni AWS STS API per richiedere credenziali temporanee.

  • Non è possibile utilizzare AWS CLI comandi o operazioni AWS API per abilitare le chiavi di sicurezza FIDO.

  • Non è possibile utilizzare lo stesso nome per più di un utente root o dispositivo MFA IAM.

Risorse aggiuntive

Le seguenti risorse possono aiutarti a saperne di più sulla MFA.

  • Per ulteriori informazioni sull'utilizzo della tecnologia MFA per l'accesso AWS, vedere. Accesso abilitato con MFA

  • Puoi sfruttare IAM Identity Center per abilitare l'accesso MFA sicuro al AWS tuo portale di accesso, alle app integrate di IAM Identity Center e al. AWS CLI Per ulteriori informazioni, consulta Abilitare l'MFA nel Centro identità IAM.