การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) สำหรับ IAM
MFA คืออะไร
วิธี MFA ที่ใช้งานได้กับ IAM
คุณสามารถจัดการอุปกรณ์ของ MFA ของคุณได้ในคอนโซล IAM ตัวเลือกต่อไปนี้เป็นวิธี MFA ที่ IAM รองรับ
พาสคีย์และคีย์ความปลอดภัย
พาสคีย์และคีย์ความปลอดภัยอยู่บนพื้นฐานของมาตรฐาน FIDO เพื่อให้การลงชื่อเข้าใช้ได้ง่ายและปลอดภัยยิ่งขึ้นในอุปกรณ์ของผู้ใช้ของคุณ มาตรฐานการยืนยันตัวตน FIDO เป็นไปตามการเข้ารหัสคีย์สาธารณะซึ่งช่วยให้การยืนยันตัวตนรัดกุมและป้องกันการฟิชชิง โดยมีความปลอดภัยมากกว่ารหัสผ่าน พาสคีย์ถูกสร้างขึ้นด้วยผู้ให้บริการรหัสผ่านที่คุณเลือก เช่น iCloud Keychain, Google Password Manager, 1Password หรือ Dashlane โดยใช้ลายนิ้วมือ ใบหน้า หรือ PIN ของอุปกรณ์ของคุณ และจะซิงค์กับอุปกรณ์ของคุณเพื่อลงชื่อเข้าใช้กับ AWS ลูกค้ายังสามารถใช้พาสคีย์ที่ผูกไว้กับอุปกรณ์ หรือที่เรียกว่าคีย์ความปลอดภัย ซึ่งจัดทำโดยผู้ให้บริการบุคคลที่สามเช่น Yubico FIDO Alliance เก็บรายการผลิตภัณฑ์ที่ได้รับการรับรองจาก FIDO ทั้งหมดซึ่งเข้ากันได้กับข้อมูลจำเพาะของ FIDO คีย์ความปลอดภัย FIDO สามารถรองรับหลายบัญชีที่มีสิทธิ์ใช้งานสูงสุดและหลายผู้ใช้ IAM โดยใช้คีย์ความปลอดภัยเดียว รหัสผ่านและคีย์ความปลอดภัยได้รับการสนับสนุนสำหรับผู้ใช้ root และ IAM ใน AWS Regions ทั้งหมดยกเว้นรีเจี้ยน AWS จีน (ปักกิ่ง) ซึ่งดำเนินการโดย Sinnet และรีเจี้ยน AWS (หนิงเซี่ย) ซึ่งดำเนินการโดย NWCD สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานคีย์ความปลอดภัย FIDO ดูที่ การเปิดใช้งานพาสคีย์หรือคีย์ความปลอดภัย
AWS เสนอคีย์ความปลอดภัย MFA ฟรี ให้กับเจ้าของบัญชี AWS ที่มีสิทธิ์ในสหรัฐอเมริกา หากต้องการตรวจสอบสิทธิ์เข้าร่วมและสั่งซื้อคีย์ ดูที่คอนโซล Security Hub
แอปยืนยันตัวตนเสมือน
แอปยืนยันตัวตนเสมือนใช้อัลกอริธึม รหัสผ่านแบบใช้ครั้งเดียวที่อิงตามเวลา (TOTP) และรองรับโทเค็นหลายรายการบนอุปกรณ์เดียว ตัวยืนยันตัวตนเสมือนรองรับสําหรับผู้ใช้ IAM ในRegion AWS GovCloud (สหรัฐฯ) และใน AWS Region อื่นๆ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปิดใช้งานแอปยืนยันตัวตนเสมือน ดูที่ การเปิดใช้งานอุปกรณ์ยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) เสมือน
คุณสามารถติดตั้งแอปสําหรับสมาร์ทโฟนของคุณได้จาก App Store เฉพาะตามประเภทของสมาร์ทโฟนของคุณ ผู้ให้บริการแอปบางรายยังมีเว็บและแอปพลิเคชันบนเดสก์ท็อปที่พร้อมให้บริการ ดูตัวอย่างในตารางต่อไปนี้
โทเค็นฮาร์ดแวร์ของ TOTP
โทเค็นฮาร์ดแวร์ยังรองรับอัลกอริทึม TOTPและให้บริการโดย Thales ซึ่งเป็นผู้ให้บริการภายนอก โทเค็นเหล่านี้มีไว้ใช้เฉพาะกับบัญชี AWS เท่านั้น สําหรับข้อมูลเพิ่มเติม โปรดดูการเปิดใช้งานอุปกรณ์ฮาร์ดแวร์ของ MFA
คุณต้องซื้อโทเค็น MFA ผ่านลิงก์ในหน้านี้เพื่อให้แน่ใจว่าจะทำงานร่วมกับ AWS ได้ โทเค็นที่ซื้อจากแหล่งที่มาอื่นอาจไม่สามารถทำงานร่วมกับ IAM เนื่องจาก AWS กำหนดให้ใช้ “Seed ของโทเค็น” เฉพาะ ซื่องเป็นคีย์ลับที่สร้างขึ้นเมื่อผลิดโทเค็น มีเพียงโทเค็นที่ซื้อผ่านลิงก์ในหน้านี้เท่านั้นที่แชร์ Seed ของโทเค็นกับ AWS อย่างปลอดภัย โทเค็น MFA จะมีสองรูปแบบ ได้แก่ โทเค็น OTP และการ์ดจอแสดงผล OTP
โทเค็นฮาร์ดแวร์ของ TOTP สําหรับ Region AWS GovCloud (สหรัฐฯ)
โทเค็นฮาร์ดแวร์ TOTP เข้ากันได้กับ AWS GovCloud (US) Regions และจัดทำโดย Hypersecu ซึ่งเป็นผู้ให้บริการบุคคลที่สาม โทเค็นเหล่านี้มีไว้สําหรับผู้ใช้ IAM ที่มีบัญชี AWS GovCloud (สหรัฐฯ) เท่านั้น
คุณต้องซื้อโทเค็น MFA ผ่านลิงก์ในหน้านี้เพื่อให้แน่ใจว่าจะทำงานร่วมกับ AWS ได้ โทเค็นที่ซื้อจากแหล่งที่มาอื่นอาจไม่สามารถทำงานร่วมกับ IAM เนื่องจาก AWS กำหนดให้ใช้ “Seed ของโทเค็น” เฉพาะ ซื่องเป็นคีย์ลับที่สร้างขึ้นเมื่อผลิดโทเค็น มีเพียงโทเค็นที่ซื้อผ่านลิงก์ในหน้านี้เท่านั้นที่แชร์ Seed ของโทเค็นกับ AWS อย่างปลอดภัย โทเค็น MFA จะอยู่ในรูปแบบโทเค็น OTP