AWS-Multi-Faktor-Authentifizierung in IAM - AWS Identity and Access Management
MFA-TypenMFA-EmpfehlungenWeitere Ressourcen

AWS-Multi-Faktor-Authentifizierung in IAM

Aus Sicherheitsgründen empfehlen wir, Ihre AWS-Ressourcen durch Multi-Factor Authentication (MFA) zu schützen. Sie können MFA für Root-Benutzer des AWS-Kontos aller AWS-Konten, einschließlich eigenständiger Konten, Verwaltungskonten und Mitgliedskonten, sowie für Ihre IAM-Benutzer aktivieren.

MFA wird für alle Kontotypen ihrer Root-Benutzer durchgesetzt. Weitere Informationen finden Sie unter Sichern der RootBenutzer-Anmeldeinformationen Ihres AWS Organizations-Kontos.

Wenn Sie MFA für den Stammbenutzer aktivieren, wirkt sich das nur auf die Anmeldeinformationen des Stammbenutzers. IAM-Benutzer im Konto sind unabhängige Identitäten mit eigenen Anmeldeinformationen und einer jeweils individuellen MFA-Konfiguration. Weitere Informationen zur Verwendung von MFA zum Schutz des Root-Benutzers finden Sie unter Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos.

Ihre Root-Benutzer des AWS-Kontos- und IAM-Benutzer können bis zu acht MFA-Geräte beliebigen Typs registrieren. Durch die Registrierung mehrerer MFA-Geräte können Sie flexibler vorgehen und das Risiko einer Zugriffsunterbrechung bei Verlust oder Defekt eines Geräts verringern. Sie benötigen nur ein MFA-Gerät, um sich bei der AWS-Managementkonsole anzumelden oder über die AWS CLI eine Sitzung zu erstellen.

Anmerkung

Wir empfehlen, dass Sie menschliche Benutzer auffordern, beim Zugriff auf AWS temporäre Anmeldeinformationen zu verwenden. Haben Sie darüber nachgedacht, AWS IAM Identity Center zu verwenden? Sie können IAM Identity Center verwenden, um den Zugriff auf mehrere AWS-Konten zentral zu verwalten und Benutzern einen MFA-geschützten Single Sign-On (SSO)-Zugriff auf alle ihnen zugewiesenen Konten von einem Ort aus zu ermöglichen. Mit IAM Identity Center können Sie Benutzeridentitäten in IAM Identity Center erstellen und verwalten oder einfach eine Verbindung zu Ihrem vorhandenen SAML-2.0-kompatiblen Identitätsanbieter herstellen. Weitere Informationen finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center-Benutzerhandbuch.

MFA sorgt für zusätzliche Sicherheit, da Benutzer beim Zugriff auf AWS-Websites oder -Services zusätzlich zu ihren Anmeldeinformationen eine eindeutige Authentifizierung über einen von AWS unterstützten MFA-Mechanismus durchführen müssen.

MFA-Typen

AWS unterstützt die folgenden ML-Typen:

Passkeys und Sicherheitsschlüssel

AWS Identity and Access Management unterstützt Passkeys und Sicherheitsschlüssel für MFA. Passkeys basieren auf FIDO-Standards und verwenden die Kryptografie mit öffentlichen Schlüsseln, um eine starke, Phishing-resistente Authentifizierung bereitzustellen, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Passkeys: gerätegebundene Passkeys (Sicherheitsschlüssel) und synchronisierte Passkeys.

  • Sicherheitsschlüssel: Hierbei handelt es sich um physische Geräte wie einen YubiKey, die als zweiter Faktor zur Authentifizierung verwendet werden. Ein einzelner Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM-Benutzer unterstützen.

  • Synchronisierte Passkeys: Diese nutzen Anmeldeinformationen von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieter-Services wie 1Password, Dashlane und Bitwarden als zweiten Faktor.

Sie können integrierte biometrische Authentifikatoren wie Touch ID auf Apple MacBooks verwenden, um Ihren Anmeldeinformationen-Manager zu entsperren und sich in AWS anzumelden. Passkeys werden bei Ihrem ausgewählten Anbieter anhand Ihres Fingerabdrucks, Gesichts oder der Geräte-PIN erstellt. Sie können auch einen Passkey für die geräteübergreifende Authentifizierung (CDA) auf einem Gerät, z. B. einem Mobilgerät oder einem Hardware-Sicherheitsschlüssel, verwenden, um sich auf einem anderen Gerät, z. B. einem Laptop, anzumelden. Weitere Informationen finden Sie unter Geräteübergreifende Authentifizierung (CDA).

Sie können Passkeys auf Ihren Geräten synchronisieren, um die Anmeldung bei AWS zu vereinfachen und die Benutzerfreundlichkeit und Wiederherstellbarkeit zu verbessern. Weitere Informationen zum Aktivieren von Passkeys und Sicherheitsschlüsseln finden Sie unter Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole).

Die FIDO Alliance führt eine Liste aller FIDO-zertifizierten Produkte, die mit den FIDO-Spezifikationen kompatibel sind.

Anwendungen für virtuelle Authentifikatoren

Eine Anwendung zur virtuellen Authentifizierung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Virtuelle Authentifizierungs-Apps implementieren den Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) und unterstützen mehrere Token auf einem einzigen Gerät. Der Benutzer muss bei der Anmeldung einen gültigen Code vom Gerät eingeben, wenn er dazu aufgefordert wird. Jeder Token, der einem Benutzer zugeordnet wird, muss eindeutig sein. Ein Benutzer kann zur Authentifizierung keinen Code vom Token eines anderen Benutzers eingeben.

Wir empfehlen die Verwendung eines virtuellen MFA-Geräts beim Warten auf die Genehmigung für den Hardware-Kauf oder während Sie warten, bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter Multi-Faktor-Authentifizierung (MFA).

Anweisungen zum Einrichten eines virtuellen MFA-Geräts für einen IAM-Benutzer finden Sie unter Zuweisen eines virtuellen MFA-Geräts in der AWS-Managementkonsole.

Anmerkung

Nicht zugewiesene virtuelle MFA-Geräte in Ihrem AWS-Konto werden gelöscht, wenn Sie neue virtuelle MFA-Geräte entweder über die AWS-Managementkonsole oder während des Anmeldevorgangs hinzufügen. Nicht zugewiesene virtuelle MFA-Geräte sind Geräte in Ihrem Konto, die jedoch nicht von Root-Benutzern oder IAM-Benutzern für den Anmeldevorgang genutzt werden. Sie werden gelöscht, sodass Ihrem Konto neue virtuelle MFA-Geräte hinzugefügt werden können. Außerdem können Sie Gerätenamen wiederverwenden.

  • Um nicht zugewiesene virtuelle MFA-Geräte in Ihrem Konto anzuzeigen, können Sie entweder den AWS CLI-Befehl list-virtual-mfa-devices oder den API-Aufruf verwenden.

  • Um ein virtuelles MFA-Gerät zu deaktivieren, können Sie entweder den AWS CLI-Befehl deactivate-mfa-device oder den API-Aufruf verwenden. Die Zuweisung des Geräts wird aufgehoben.

  • Um Ihrem Root-Benutzer oder Ihren IAM-Benutzern in Ihrem AWS-Konto ein nicht zugewiesenes virtuelles MFA-Gerät zuzuordnen, benötigen Sie den vom Gerät generierten Authentifizierungscode zusammen mit dem Befehl AWS CLIenable-mfa-device oder dem API-Aufruf.

Hardware-TOTP-Token

Ein Hardwaregerät generiert einen sechsstelligen numerischen Code basierend auf dem zeitgesteuerten Einmalpasswort (TOTP)-Algorithmus. Der Benutzer muss während der Anmeldung auf einer zweiten Webseite einen gültigen Code von dem Gerät eingeben.

Diese Token werden ausschließlich mit AWS-Konten verwendet. Sie können nur Token verwenden, deren eindeutige Token-Seeds auf sichere Weise für AWS freigegeben wurden. Token-Seeds sind geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Aus anderen Quellen erworbene Token funktionieren nicht mit IAM. Um die Kompatibilität sicherzustellen, müssen Sie Ihr Hardware-MFA-Gerät über einen der folgenden Links kaufen: OTP-Token oder OTP-Anzeigekarte.

  • Jedes MFA-Gerät, das einem Benutzer zugeordnet ist, muss eindeutig sein. Ein Benutzer kann keinen Code von einem MFA-Gerät eines anderen Benutzers eingeben, um sich zu authentifizieren. Weitere Informationen zu unterstützten Hardware-MFA-Geräten finden Sie unter Multi-Faktor-Authentifizierung (MFA).

  • Wenn Sie ein physisches MFA-Gerät verwenden möchten, empfehlen wir Ihnen, als Alternative zu Hardware-TOTP-Geräten Sicherheitsschlüssel zu verwenden. Sicherheitsschlüssel erfordern keine Batterien, sind Phishing-resistent und unterstützen mehrere Benutzer auf einem einzigen Gerät.

Sie können einen Passkey oder Sicherheitsschlüssel nur von der AWS-Managementkonsole aus aktivieren, nicht über die AWS CLI- oder AWS-API. Bevor Sie einen Sicherheitsschlüssel aktivieren können, müssen Sie über physischen Zugriff auf das Gerät verfügen.

Anweisungen zum Einrichten eines Hardware-TOTP-Tokens für einen IAM-Benutzer finden Sie unter Hardware-TOTP-Token in der AWS-Managementkonsole zuweisen.

Anmerkung

SMS-textnachrichtenbasierte MFAAWS hat die Unterstützung für Multi-Faktor-Authentifizierung (MFA) per SMS eingestellt. Wir empfehlen Kunden, deren IAM-Benutzer SMS-basierte MFA verwenden, auf eine der folgenden alternativen Methoden umzusteigen: Passkey oder Sicherheitsschlüssel, virtuelles (softwarebasiertes) MFA-Gerät oder Hardware-MFA-Gerät. Sie können die Benutzer in Ihrem Konto mit einem zugewiesenen SMS-MFA-Gerät identifizieren. Wählen Sie in der IAM-Konsole Users (Benutzer) im Navigationsbereich und suchen Sie nach Benutzern mit SMS in der Spalte MFA der Tabelle.

MFA-Empfehlungen

Befolgen Sie diese Empfehlungen zur MFA-Authentifizierung, um Ihre AWS-Identitäten zu schützen.

  • Wir empfehlen Ihnen, mehrere MFA-Geräte für Ihren Root-Benutzer des AWS-Kontos und IAM-Benutzer in Ihren AWS-Konten zu aktivieren. Damit können Sie die Sicherheitsstandards in Ihren AWS-Konten erhöhen und die Verwaltung des Zugriffs auf hochprivilegierte Benutzer, wie den Root-Benutzer des AWS-Kontos, vereinfachen.

  • Sie können bis zu acht MFA-Geräte einer beliebigen Kombination der derzeit unterstützten MFA-Typen für Ihren Root-Benutzer des AWS-Kontos und Ihre IAM-Benutzer registrieren. Bei mehreren MFA-Geräten ist nur ein MFA-Gerät erforderlich, um sich bei der AWS-Managementkonsole anzumelden oder eine Sitzung mit der AWS CLI als diesen Benutzer zu erstellen. Ein IAM-Benutzer muss sich mit einem vorhandenen MFA-Gerät authentifizieren, um ein zusätzliches MFA-Gerät zu aktivieren oder zu deaktivieren.

  • Im Falle eines verlorenen, gestohlenen oder unzugänglichen MFA-Geräts können Sie eines der verbleibenden MFA-Geräte verwenden, um auf AWS-Konto zuzugreifen, ohne das AWS-Konto-Wiederherstellungsverfahren durchzuführen. Wenn ein MFA-Gerät verloren geht oder gestohlen wird, muss es vom IAM-Prinzipal getrennt werden, mit dem es verknüpft ist.

  • Die Verwendung mehrerer MFAs ermöglicht Ihren Mitarbeitern an geografisch verteilten Standorten oder im Homeoffice, hardwarebasiertes MFA für den Zugriff auf AWS zu verwenden, ohne den physischen Austausch eines einzelnen Hardwaregeräts zwischen Mitarbeitern koordinieren zu müssen.

  • Durch die Verwendung zusätzlicher MFA-Geräte für IAM-Prinzipale können Sie ein oder mehrere MFAs für den täglichen Gebrauch verwenden und gleichzeitig physische MFA-Geräte an einem sicheren physischen Ort wie einem Tresor oder einem Safe für die Sicherung und Redundanz aufbewahren.

Hinweise

  • Sie können die MFA-Informationen für einen FIDO-Sicherheitsschlüssel nicht an AWS STS-API-Vorgänge übergeben, um temporäre Anmeldeinformationen anzufordern.

  • Sie können keine AWS CLI-Befehle oder AWS-API-Operationen verwenden, um FIDO-Sicherheitsschlüssel zu aktivieren.

  • Sie können denselben Namen nicht für mehr als einen Root-Benutzer oder ein IAM-MFA-Gerät verwenden.

Weitere Ressourcen

Mithilfe der folgenden Ressourcen können Sie mehr über MFA erfahren.

  • Weitere Informationen zur Verwendung von MFA für den Zugriff auf AWS finden Sie unter Anmeldung mit MFA.

  • Sie können IAM Identity Center nutzen, um sicheren MFA-Zugriff auf Ihr AWS-Zugriffsportal, in IAM Identity Center integrierte Apps und die AWS CLI zu ermöglichen. Weitere Informationen finden Sie unter Aktivieren von MFA im IAM Identity Center.