Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln - AWS Identity and Access Management
Von AWS unterstützte FIDO2-GeräteBrowser, die FIDO2 unterstützenGerätezertifizierungenAWS CLI und AWS-APIWeitere Ressourcen

Unterstützte Konfigurationen für die Verwendung von Passkeys und Sicherheitsschlüsseln

Sie können gerätegebundene FIDO2-Passkeys (auch Sicherheitsschlüssel genannt) als Methode zur Multi-Faktor-Authentifizierung (MFA) mit IAM verwenden, indem Sie aktuell unterstützte Konfigurationen verwenden. Dazu gehören von IAM unterstützte FIDO2-Geräte und Browser, die FIDO2 unterstützen. Bevor Sie Ihr FIDO2-Gerät registrieren, überprüfen Sie, ob Sie die neueste Browser- und Betriebssystemversion verwenden. Die Funktionen können sich in verschiedenen Browsern, Authentifikatoren und Betriebssystem-Clients unterschiedlich verhalten. Wenn die Registrierung Ihres Geräts in einem Browser fehlschlägt, können Sie versuchen, die Registrierung in einem anderen Browser durchzuführen.

FIDO2 ist ein offener Authentifizierungsstandard und eine Erweiterung von FIDO U2F, der das gleiche hohe Sicherheitsniveau auf der Grundlage der Public-Key-Kryptografie bietet. FIDO2 besteht aus der W3C-Web-Authentifizierungs-Spezifikation (WebAuthn API) und dem FIDO Alliance Client-to-Authenticator Protocol (CTAP), einem Protokoll auf Anwendungsebene. CTAP ermöglicht die Kommunikation zwischen Client oder Plattform, wie einem Browser oder Betriebssystem, mit einem externen Authenticator. Wenn Sie einen FIDO-zertifizierten Authentifikator in AWS aktivieren, erstellt der Sicherheitsschlüssel ein neues Schlüsselpaar zur ausschließlichen Verwendung in AWS. Geben Sie zuerst Ihre Anmeldeinformationen ein. Wenn Sie dazu aufgefordert werden, tippen Sie auf den Sicherheitsschlüssel, der auf die von AWS ausgegebene Authentifizierungsaufforderung reagiert. Weitere Informationen zum FIDO2-Standard finden Sie unter FIDO2-Projekt.

Von AWS unterstützte FIDO2-Geräte

IAM unterstützt FIDO2-Sicherheitsgeräte, die über USB, Bluetooth oder NFC eine Verbindung zu Ihren Geräten herstellen. IAM unterstützt auch Plattformauthentifikatoren wie TouchID oder FaceID. IAM unterstützt keine lokale Passkey-Registrierung für Windows Hello. Zum Erstellen und Verwenden von Passkeys sollten Windows-Benutzer die geräteübergreifende Authentifizierung nutzen, bei der Sie einen Passkey von einem Gerät (z. B. einem Mobilgerät) oder einen Hardware-Sicherheitsschlüssel verwenden, um sich auf einem anderen Gerät (z. B. einem Laptop) anzumelden.

Anmerkung

AWS erfordert Zugriff auf den physischen USB-Port Ihres Computers, um Ihr FIDO2-Gerät zu verifizieren. Sicherheitsschlüssel funktionieren nicht mit einer virtuellen Maschine, einer Remote-Verbindung oder dem Inkognito-Modus eines Browsers.

Die FIDO Alliance führt eine Liste aller FIDO2-Produkte, die mit den FIDO-Spezifikationen kompatibel sind.

Browser, die FIDO2 unterstützen

Die Verfügbarkeit von FIDO2-Sicherheitsgeräten, die in einem Webbrowser ausgeführt werden, hängt von der Kombination aus Browser und Betriebssystem ab. Die folgenden Browser unterstützen derzeit die Verwendung von Sicherheitsschlüsseln:

Webbrowser macOS 10.15+ Windows 10 Linux iOS 14.5+ Android 7+
Chrome Ja Ja Ja Ja Nein
Safari Ja Nein Nein Ja Nein
Edge Ja Ja Nein Ja Nein
Firefox Ja Ja Nein Ja Nein
Anmerkung

Die meisten Firefox-Versionen, die derzeit FIDO2 unterstützen, aktivieren die Unterstützung nicht standardmäßig. Anweisungen zum Aktivieren der FIDO2-Unterstützung in Firefox finden Sie unter Fehlerbehebung bei Passkeys und FIDO-Sicherheitsschlüsseln.

Firefox unter macOS unterstützt geräteübergreifende Authentifizierungs-Workflows für Passkeys möglicherweise nicht vollständig. Möglicherweise werden Sie dazu aufgefordert, einen Sicherheitsschlüssel zu drücken, anstatt mit der geräteübergreifenden Authentifizierung fortzufahren. Wir empfehlen, für die Anmeldung mit Passkeys unter macOS einen anderen Browser wie Chrome oder Safari zu verwenden.

Weitere Informationen zur Browserunterstützung für ein FIDO2-zertifiziertes Gerät wie YubiKey finden Sie unter Betriebssystem- und Webbrowser-Unterstützung für FIDO2 und U2F.

Browser-Plugins

AWS unterstützt nur Browser, die FIDO2 nativ unterstützen. AWS unterstützt nicht die Verwendung von Plug-ins zum Hinzufügen von FIDO2-Browserunterstützung. Einige Browser-Plugins sind nicht mit dem FIDO2-Standard kompatibel und können bei FIDO2-Sicherheitsschlüsseln zu unerwarteten Ergebnissen führen.

Weitere Informationen zum Deaktivieren von Browser-Plugins und andere Tipps zur Fehlerbehebung finden Sie unter Ich kann meinen FIDO-Sicherheitsschlüssel nicht aktivieren.

Gerätezertifizierungen

Gerätebezogene Zertifizierungen, wie etwa die FIPS-Validierung und die FIDO-Zertifizierungsstufe, erfassen und vergeben wir ausschließlich bei der Registrierung eines Sicherheitsschlüssels. Ihre Gerätezertifizierung wird vom FIDO Alliance Metadata Service (MDS) abgerufen. Wenn sich der Zertifizierungsstatus oder die Stufe Ihres Sicherheitsschlüssels ändert, wird dies nicht automatisch in den Geräte-Tags widergespiegelt. Um die Zertifizierungsinformationen eines Geräts zu aktualisieren, registrieren Sie das Gerät erneut, um die aktualisierten Zertifizierungsinformationen abzurufen.

AWS stellt bei der Geräteregistrierung die folgenden Zertifizierungstypen als Bedingungsschlüssel bereit, die aus dem FIDO MDS abgerufen werden: FIPS-140-2, FIPS-140-3 und FIDO-Zertifizierungsstufen. Sie haben die Möglichkeit, die Registrierung bestimmter Authentifikatoren in ihren IAM-Richtlinien festzulegen, basierend auf Ihrem bevorzugten Zertifizierungstyp und Ihrer bevorzugten Zertifizierungsstufe. Weitere Informationen finden Sie unten unter „Richtlinien“.

Beispielrichtlinien für Gerätezertifizierungen

Die folgenden Anwendungsfälle zeigen Beispielrichtlinien, mit denen Sie MFA-Geräte mit FIPS-Zertifizierungen registrieren können.

Anwendungsfall 1: Nur die Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2-Zertifizierung verfügen

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}

Anwendungsfall 2: Registrierung von Geräten zulassen, die über eine FIPS-140-2-L2- und FIDO-L1-Zertifizierung verfügen

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}

Anwendungsfall 3: Registrierung von Geräten zulassen, die entweder über eine FIPS-140-2-L2- oder eine FIPS-140-3-L2-Zertifizierung verfügen

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}

Anwendungsfall 4: Ermöglichen Sie die Registrierung von Geräten, die über eine FIPS-140-2-L2-Zertifizierung verfügen und andere MFA-Typen wie virtuelle Authentifikatoren und Hardware-TOTP unterstützen

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Create"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:RegisterSecurityKey": "Activate",
          "iam:FIDO-FIPS-140-2-certification": "L2"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "iam:EnableMFADevice",
      "Resource": "*",
      "Condition": {
        "Null": {
          "iam:RegisterSecurityKey": "true"
        }
      }
    }
  ]
}

AWS CLI und AWS-API

AWS unterstützt die Verwendung von Passkeys und Sicherheitsschlüsseln nur in der AWS-Managementkonsole. Die Verwendung von Passkeys und Sicherheitsschlüsseln für MFA wird in der AWS CLI und AWS API oder für den Zugriff auf MFA-geschützte API-Operationen nicht unterstützt.

Weitere Ressourcen