Authentication multifactorielle AWS dans IAM - AWS Identity and Access Management
Types MFARecommandations MFARessources supplémentaires

Authentication multifactorielle AWS dans IAM

Pour plus de sécurité, nous vous recommandons de configurer l'authentification multi-facteur (MFA) pour mieux protéger vos ressources AWS. Vous pouvez activer la MFA pour tous l’Utilisateur racine d'un compte AWS de tous les Comptes AWS, y compris les comptes autonomes, les comptes de gestion et les comptes membres, ainsi que pour vos utilisateurs IAM.

La MFA est appliquée à tous les types de comptes pour leur utilisateur racine. Pour de plus amples informations, consultez Sécuriser les identifiants de l’utilisateur racine de votre compte AWS Organizations.

Lorsque vous activez l'authentification MFA pour l'utilisateur root, cela affecte uniquement les informations d'identification de l'utilisateur root. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité dispose de sa propre configuration MFA. Pour de plus amples informations sur l’utilisation de l’authentification multifactorielle (MFA) pour protéger l’utilisateur racine, veuillez consulter Authentification multifactorielle pour Utilisateur racine d'un compte AWS.

Votre Utilisateur racine d'un compte AWS et les utilisateurs IAM peuvent enregistrer jusqu’à huit dispositifs MFA, quel que soit leur type. L’enregistrement de plusieurs dispositifs MFA peut apporter de la flexibilité et vous aider à réduire le risque d’interruption d’accès en cas de perte ou de panne d’un dispositif. Vous n’avez besoin que d’un seul dispositif MFA pour vous connecter à l’AWS Management Console ou créer une session via l’AWS CLI.

Note

Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès à AWS. Avez-vous envisagé d'utiliser AWS IAM Identity Center ? Vous pouvez utiliser IAM Identity Center pour gérer de manière centralisée et depuis un seul endroit l'accès à plusieurs Comptes AWS et offrir aux utilisateurs un accès par authentification unique protégé par MFA à tous les comptes attribués. Avec IAM Identity Center, vous pouvez créer et gérer les identités des utilisateurs dans IAM Identity Center ou vous connecter facilement à votre fournisseur d'identité compatible SAML 2.0 existant. Pour plus d'informations, consultez Qu'est-ce que IAM Identity Center ? dans le Guide de l'utilisateur AWS IAM Identity Center.

La MFA ajoute une sécurité supplémentaire qui exige des utilisateurs qu’ils fournissent une authentification unique à partir d’un mécanisme de MFA pris en charge par AWS, en plus de leurs informations d’identification, lorsqu’ils accèdent à des sites Web ou à des services AWS.

Types MFA

AWS prend en charge les types de MFA suivants.

Clés d’accès et clés de sécurité

AWS Identity and Access Management prend en charge les clés d’accès et les clés de sécurité pour la MFA. Basées sur les normes FIDO, les clés d’accès utilisent la cryptographie à clé publique pour fournir une authentification forte, résistante au hameçonnage et plus sécurisée que les mots de passe. AWS prend en charge deux types de clés d’accès : les clés d’accès liées au dispositif (clés de sécurité) et les clés d’accès synchronisées.

  • Clés de sécurité : il s’agit de dispositifs physiques, tels qu’une YubiKey, utilisés comme deuxième facteur d’authentification. Une clé de sécurité unique peut prendre en charge plusieurs comptes utilisateur racine et utilisateurs IAM.

  • Clés d’accès synchronisées : elles utilisent des gestionnaires d’informations d’identification provenant de fournisseurs tels que Google, Apple, Microsoft et de services tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur.

Vous pouvez utiliser des authentificateurs biométriques intégrés, tels que Touch ID sur les MacBooks d’Apple, pour déverrouiller votre gestionnaire d’informations d’identification et vous connecter à AWS. Les clés d’accès sont créées avec le fournisseur de votre choix à l’aide de votre empreinte digitale, de votre visage ou du code PIN de votre appareil. Vous pouvez utiliser une clé d’accès d’authentification entre appareils (CDA) provenant d’un appareil, comme un appareil mobile ou une clé de sécurité matérielle, pour vous connecter sur un autre appareil, tel qu’un ordinateur portable. Pour plus d’informations, consultez Authentification entre appareils (CDA).

Vous pouvez synchroniser les clés d’accès sur tous vos appareils pour faciliter les connexions à AWS et améliorer la convivialité et la récupérabilité. Pour plus d’informations sur l’activation des clés d’accès et des clés de sécurité, consultez Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console).

La FIDO Alliance tient à jour une liste de tous les produits certifiés FIDO qui sont compatibles avec les spécifications FIDO.

Applications d’authentification virtuelle

Une application d’authentification virtuelle s’exécute sur un téléphone ou un autre dispositif et émule un dispositif physique. Les applications d'authentification virtuelle mettent en œuvre l'algorithme TOTP (mot de passe unique à durée limitée) et prennent en charge plusieurs jetons sur un seul dispositif. L’utilisateur doit saisir un code valide à partir du dispositif lorsqu’il y est invité lors de la connexion. Chaque jeton attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code provenant du jeton d’un autre utilisateur pour s’authentifier.

Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel. Pour obtenir une liste des applications que vous pouvez utiliser comme dispositifs MFA virtuels, consultez Authentification multifactorielle (MFA).

Pour plus d’informations sur la configuration d’un dispositif MFA virtuel pour un utilisateur IAM, consultez Attribution d’un dispositif MFA virtuel dans l’AWS Management Console.

Note

Les dispositifs MFA virtuels non attribués dans votre Compte AWS sont supprimés lorsque vous ajoutez de nouveaux appareils MFA virtuels via l’AWS Management Console ou pendant le processus de connexion. Les dispositifs MFA virtuels non attribués sont des dispositifs présents dans votre compte, mais qui ne sont pas utilisés par l’utilisateur racine du compte ou les utilisateurs IAM pour le processus de connexion. Ils sont supprimés afin que de nouveaux dispositifs MFA virtuels puissent être ajoutés à votre compte. Cela vous permet également de réutiliser les noms des appareils.

  • Pour afficher les dispositifs MFA virtuels non attribués dans votre compte, vous pouvez utiliser la commande AWS CLI list-virtual-mfa-devices ou un appel d’API.

  • Pour désactiver un dispositif MFA virtuel, vous pouvez utiliser la commande AWS CLI deactivate-mfa-device ou un appel d’API. Le dispositif ne sera plus attribué.

  • Pour associer un dispositif MFA virtuel non attribué à l’utilisateur racine de votre Compte AWS ou à vos utilisateurs IAM, vous aurez besoin du code d’authentification généré par le dispositif, ainsi que de la commande AWS CLI enable-mfa-device ou d’un appel d’API.

Jetons TOTP matériels

Un dispositif matériel qui génère un code numérique à six chiffres basé sur l’algorithme TOTP (mot de passe unique à durée limitée). L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion.

Ces jetons sont utilisés exclusivement avec les Comptes AWS. Vous ne pouvez utiliser que des jetons dont les graines uniques sont partagées en toute sécurité avec AWS. Les graines de jetons sont des clés secrètes générées au moment de la production des jetons. Les jetons achetés auprès d’autres sources ne fonctionneront pas avec IAM. Pour garantir la compatibilité, vous devez acheter votre dispositif MFA matériel via l’un des liens suivants : jeton OTP ou carte d’affichage OTP.

  • Chaque dispositif MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d’informations sur les dispositifs MFA matériels pris en charge, consultez Authentification multifactorielle (MFA).

  • Si vous souhaitez utiliser un dispositif MFA physique, nous vous recommandons d’utiliser des clés de sécurité comme alternative aux dispositifs TOTP matériels. Les clés de sécurité ne nécessitent aucune pile, résistent au hameçonnage et prennent en charge plusieurs utilisateurs sur un seul dispositif.

Vous ne pouvez activer une clé d’accès ou une clé de sécurité qu’à partir de l’AWS Management Console, et non à partir de l’AWS CLI ou de l’API AWS. Avant d’activer une clé de sécurité, vous devez avoir un accès physique au dispositif.

Pour plus d’informations sur la configuration d’un jeton TOTP matériel pour un utilisateur IAM, consultez Attribution d’un jeton TOTP matériel dans l’AWS Management Console.

Note

MFA basé sur les SMS. AWS a cessé de prendre en charge l’authentification multifactorielle (MFA) par SMS. Nous recommandons aux clients dont les utilisateurs IAM utilisent un dispositif MFA basé sur les SMS de passer à l’une des méthodes alternatives suivantes : clé d’accès ou clé de sécurité, dispositif MFA (logiciel) virtuel ou dispositif MFA matériel. Vous pouvez identifier les utilisateurs dans votre compte avec un dispositif MFA SMS affecté. Dans la console IAM, sélectionnez Users (Utilisateurs) dans le panneau de navigation, puis recherchez les utilisateurs avec SMS mentionné dans la colonne MFA de la table.

Recommandations MFA

Pour sécuriser votre identité AWS, suivez les recommandations suivantes concernant l’authentification MFA.

  • Nous vous recommandons d'activer plusieurs dispositifs MFA pour le Utilisateur racine d'un compte AWS et les utilisateurs IAM de vos Comptes AWS. Cela vous permet d'élever la sécurité dans votre Comptes AWS et de simplifier la gestion de l'accès aux utilisateurs hautement privilégiés, tels que le Utilisateur racine d'un compte AWS.

  • Vous pouvez enregistrer jusqu'à huit dispositifs MFA de n'importe quelle combinaison des types MFA actuellement pris en charge auprès de votre Utilisateur racine d'un compte AWS et des utilisateurs IAM. Avec plusieurs dispositifs MFA, vous n'en avez besoin que d'un seul pour vous connecter à la AWS Management Console ou créer une session à l'aide de la AWS CLI pour cet utilisateur. Un utilisateur IAM doit s'authentifier avec un dispositif MFA existant pour activer ou désactiver un dispositif MFA supplémentaire.

  • En cas de perte, de vol ou d'inaccessibilité d'un dispositif MFA, vous pouvez utiliser l'un des autres dispositifs MFA pour accéder au Compte AWS sans effectuer la procédure de restauration de Compte AWS. En cas de perte ou de vol d'un dispositif MFA, celui-ci doit être dissocié du principal IAM auquel il est associé.

  • L'utilisation de plusieurs MFA permet à vos employés travaillant sur des sites géographiquement dispersés ou travaillant à distance d'utiliser l'authentification multifactorielle matérielle pour accéder à AWS sans devoir coordonner l'échange physique d'un seul dispositif matériel entre les employés.

  • L'utilisation de dispositifs MFA supplémentaires pour les principaux IAM vous permet d'utiliser un ou plusieurs MFA pour un usage quotidien, tout en conservant les dispositifs MFA physiques dans un emplacement physique sécurisé, tel qu'une chambre forte ou un coffre-fort pour la sauvegarde et la redondance.

Remarques

  • Vous ne pouvez pas transmettre les informations MFA d'une clé de sécurité FIDO aux opérations d'API AWS STS pour demander des informations d'identification temporaires.

  • Vous ne pouvez pas utiliser des commandes d'AWS CLI ou des opérations d'API AWS pour activer les clés de sécurité FIDO.

  • Vous ne pouvez pas utiliser le même nom pour plusieurs utilisateurs racine ou dispositif MFA IAM.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à en savoir plus au sujet de la MFA.

  • Pour plus d’informations sur l’utilisation de la MFA pour accéder à AWS, consultez Connexion compatible avec la MFA.

  • Vous pouvez tirer parti d’IAM Identity Center pour permettre un accès MFA sécurisé à votre portail d’accès AWS, aux applications intégrées d’IAM Identity Center et à l’AWS CLI. Pour plus d’informations, consultez Activation de la MFA dans IAM Identity Center.