IAM için çok faktörlü kimlik doğrulama (MFA)

MFA nedir?

AWS çok faktörlü kimlik doğrulama (MFA), kullanıcı adı ve parolayı içeren oturum açma kimlik bilgilerine ek olarak ikinci bir kimlik doğrulama faktörü gerektiren, AWS Kimlik ve Erişim Yönetimi (IAM) ile ilgili bir en iyi uygulamadır. Hesabınızda oluşturduğunuz kök ve IAM kullanıcıları için MFA'yı AWS hesap düzeyinde etkinleştirebilirsiniz.  
 
AWS, ücretsiz MFA güvenlik anahtarı programı için uygunluk kapsamını genişletiyor. Uygunluğunuzu doğrulayın ve ücretsiz MFA anahtarınızı sipariş edin.
 
MFA etkinleştirildiğinde bir kullanıcı AWS Yönetim Konsolu'nda oturum açtığında kullanıcı adı ve parolası ( kullanıcının hatırlayabileceği bir bilgi) ve MFA cihazından bir kimlik doğrulama kodu ( kullanıcının sahip olduğu bir aygıt veya biyometrik özellikli bir kimlik doğrulayıcı kullanıyorsa kullanıcının olduğu kişi) istenir. Birlikte uygulandığında bu faktörler AWS hesaplarınız ve kaynaklarınız için güvenliği artırır.
 
Kullanıcılarınızın AWS'ye erişirken geçici kimlik bilgilerini kullanmasını talep etmenizi öneririz. Kullanıcılarınız, kurumsal kimlik bilgileri ve MFA yapılandırmalarıyla kimlik doğrulaması yapabilecekleri AWS'ye federasyon oluşturmak için bir kimlik sağlayıcısı kullanabilir. AWS ve iş uygulamalarına erişimi yönetmek için AWS IAM Kimlik Merkezi'ni kullanmanızı öneririz. Daha fazla bilgi için IAM Kimlik Merkezi Kullanıcı Kılavuzu'na bakın.
 
IAM MFA uygulamanızla kullanabileceğiniz aşağıdaki mevcut MFA seçeneklerine bakın. Verilen bağlantılar aracılığıyla sanal kimlik doğrulayıcı uygulamalarını indirebilir veya ilgili üreticiden bir donanım MFA cihazı edinebilirsiniz. Desteklenen bir sanal veya donanımsal MFA cihazı edindikten sonra AWS, MFA kullanımı için ek ücret almaz.

IAM için mevcut MFA yöntemleri

MFA cihazlarınızı IAM konsolunda yönetebilirsiniz. Aşağıdaki seçenekler IAM tarafından desteklenen MFA yöntemleridir.

Geçiş anahtarları ve güvenlik anahtarları

Geçiş anahtarları ve güvenlik anahtarları, kullanıcılarınızın cihazlarında daha kolay ve daha güvenli oturum açmalarını sağlamak için FIDO standartlarına dayanmaktadır. FIDO kimlik doğrulama standartları, parolalardan daha güvenli olan güçlü, kimlik avına karşı dirençli kimlik doğrulamaya olanak tanıyan herkese açık anahtarla şifrelemeye dayanır. Geçiş anahtarları; iCloud Anahtar Zinciri, Google Password Manager, 1Password veya Dashlane gibi seçtiğiniz geçiş anahtarı sağlayıcısı ile parmak iziniz, yüzünüz veya cihaz PIN'iniz kullanılarak oluşturulur ve AWS'de oturum açmak için cihazlarınız arasında senkronize edilir. Müşteriler ayrıca Yubico gibi üçüncü taraf sağlayıcılar tarafından sağlanan güvenlik anahtarları olarak da bilinen cihaza bağlı geçiş anahtarlarını da kullanabilir. FIDO Alliance, FIDO spesifikasyonlarıyla uyumlu tüm FIDO sertifikalı ürünlerin listesini tutar. FIDO güvenlik anahtarları, tek bir güvenlik anahtarı kullanan birden fazla kök hesabı ve IAM kullanıcısını destekleyebilir. Geçiş anahtarları ve güvenlik anahtarları, Sinnet tarafından işletilen AWS Çin (Pekin) Bölgesi ve NWCD tarafından işletilen AWS (Ningksia) Bölgesi hariç tüm AWS Bölgelerindeki root ve IAM kullanıcıları için desteklenir. FIDO güvenlik anahtarlarını etkinleştirme hakkında daha fazla bilgi için Bir FIDO geçiş anahtarını veya güvenlik anahtarını etkinleştirme sayfasına bakın.

AWS, Amerika Birleşik Devletleri'ndeki uygun AWS hesap sahiplerine ücretsiz bir MFA güvenlik anahtarı sunar. Uygunluğu belirlemek ve anahtar sipariş etmek için Güvenlik Merkezi konsoluna bakın.

Sanal kimlik doğrulama uygulamaları

Sanal kimlik doğrulama uygulamaları, zamana bağlı tek seferlik parola (TOTP) algoritmasını uygular ve tek bir cihazda birden fazla belirteci destekler. Sanal kimlik doğrulayıcılar, AWS GovCloud (ABD) Bölgelerindeki ve diğer AWS Bölgelerindeki IAM kullanıcıları için desteklenir. Sanal kimlik doğrulayıcıları etkinleştirme hakkında daha fazla bilgi için Sanal çok faktörlü kimlik doğrulama (MFA) cihazını etkinleştirme sayfasına bakın.

Akıllı telefonunuz için akıllı telefon türünüze özel uygulama mağazasından uygulamalar yükleyebilirsiniz. Bazı uygulama sağlayıcılarının web ve masaüstü uygulamaları da mevcuttur. Ayrıntıları öğrenmek için aşağıdaki tabloya bakın.

Android Twilio Authy Authenticator, Duo Mobile, Microsoft Authenticator, Google Authenticator, Symantec VIP
iOS Twilio Authy Authenticator, Duo Mobile, Microsoft Authenticator, Google Authenticator, Symantec VIP

Donanım TOTP belirteçleri

Donanım belirteçleri TOTP algoritmasını da destekler ve üçüncü taraf bir sağlayıcı olan Thales tarafından sunulur. Bu belirteçler yalnızca AWS hesaplarıyla kullanılabilir. Daha fazla bilgi için Donanım MFA cihazını etkinleştirme sayfasına bakın.

AWS ile uyumu sağlamak için MFA belirteçlerinizi bu sayfadaki bağlantılar aracılığıyla satın almanız gerekir. AWS, belirteç üretimi esnasında oluşturulan gizli anahtarlar olan benzersiz "belirteç tohumları" gerektirdiğinden diğer kaynaklardan satın alınan belirteçler IAM ile çalışmayabilir. Yalnızca bu sayfadaki bağlantılar aracılığıyla satın alınan belirteçlerin tohumları AWS ile güvenli şekilde paylaşılır. MFA belirteçleri iki şekilde sunulur: OTP belirteci ve OTP görüntüleme kartı.

AWS GovCloud (ABD) bölgeleri için donanım TOTP belirteçleri

Donanım TOTP belirteçleri AWS GovCloud (ABD) Bölgeleriyle uyumludur ve üçüncü taraf bir sağlayıcı olan Hypersecu tarafından sunulur. Bu belirteçler yalnızca AWS GovCloud (ABD) hesaplarına sahip IAM kullanıcıları tarafından kullanılabilir.

AWS ile uyumu sağlamak için MFA belirteçlerinizi bu sayfadaki bağlantılar aracılığıyla satın almanız gerekir. AWS, belirteç üretimi esnasında oluşturulan gizli anahtarlar olan benzersiz "belirteç tohumları" gerektirdiğinden diğer kaynaklardan satın alınan belirteçler IAM ile çalışmayabilir. Yalnızca bu sayfadaki bağlantılar aracılığıyla satın alınan belirteçlerin tohumları AWS ile güvenli şekilde paylaşılır. MFA belirteçleri, OTP belirteci biçiminde sunulur.