Autenticazione a più fattori di AWS in IAM - AWS Identity and Access Management
Tipi di MFASuggerimenti per MFARisorse aggiuntive

Autenticazione a più fattori di AWS in IAM

Per maggiore sicurezza, ti consigliamo di configurare l'autenticazione a più fattori o MFA (Multi-Factor Authentication) per favorire la protezione delle risorse AWS. Puoi abilitare l'MFA per il Utente root dell'account AWS di tutti gli Account AWS, inclusi gli account autonomi, gli account di gestione e gli account membro, nonché per gli utenti IAM.

L'MFA viene applicata a tutti i tipi di account per il relativo utente root. Per ulteriori informazioni, consulta Protezione delle credenziali dell'utente root per l'account AWS Organizations.

Quando abiliti MFA per l'utente root, questa impostazione influisce solo sulle credenziali dell'utente root. Gli utenti IAM nell'account sono identità distinte con proprie credenziali e ogni identità ha la propria configurazione MFA. Per ulteriori informazioni sull'utilizzo dell'MFA per proteggere l'utente root, consulta Autenticazione a più fattori per Utente root dell'account AWS.

Il tuo Utente root dell'account AWS e gli utenti IAM possono registrare fino a otto dispositivi MFA di qualsiasi tipo. La registrazione di più dispositivi MFA può offrire flessibilità e contribuire a ridurre il rischio di interruzione dell'accesso in caso di smarrimento o guasto di un dispositivo. È necessario un solo dispositivo MFA per accedere alla Console di gestione AWS o creare una sessione tramite la AWS CLI.

Nota

Consigliamo di richiedere agli utenti di utilizzare credenziali temporanee per l'accesso a AWS. Hai preso in considerazione l'utilizzo di AWS IAM Identity Center? Puoi utilizzare IAM Identity Center per gestire centralmente l'accesso a più Account AWS e fornire agli utenti un accesso Single Sign-On protetto da MFA a tutti gli account assegnati da un'unica posizione. Con IAM Identity Center puoi creare e gestire le identità degli utenti in IAM Identity Center o connetterti facilmente al tuo attuale gestore dell'identità digitale (IdP) compatibile con SAML 2.0. Per ulteriori informazioni, consulta Cos'è IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center.

L'autenticazione MFA garantisce una maggiore sicurezza poiché richiede agli utenti di fornire autenticazione univoca da un meccanismo MFA supportato da AWS, in aggiunta alle normali credenziali di accesso, quando questi ultimi accedono ai siti Web o ai servizi AWS.

Tipi di MFA

AWS supporta i seguenti tipi di MFA:

Passkey e chiavi di sicurezza

AWS Identity and Access Management supporta passkey e chiavi di sicurezza per MFA. Basate sugli standard FIDO, le password utilizzano la crittografia a chiave pubblica per fornire un'autenticazione forte e resistente al phishing, più sicura delle password. AWS supporta due tipi di passkey: passkey legate al dispositivo (chiavi di sicurezza) e passkey sincronizzate.

  • Chiavi di sicurezza: si tratta di dispositivi fisici, come una YubiKey, utilizzati come secondo fattore di autenticazione. Una singola chiave di sicurezza può supportare più account utente root e utenti IAM.

  • Passkey sincronizzate: come secondo fattore utilizzano gestori di credenziali di provider come Google, Apple, account Microsoft e servizi di terze parti come 1Password, Dashlane e Bitwarden come secondo fattore.

Puoi utilizzare gli autenticatori biometrici integrati, come il Touch ID su un Apple MacBook, per sbloccare il gestore delle credenziali e accedere a AWS. Le passkey vengono create con il provider scelto utilizzando l'impronta digitale, il viso o il PIN del dispositivo. Puoi anche utilizzare una passkey di autenticazione tra dispositivi (CDA) da un dispositivo, ad esempio un dispositivo mobile o una chiave di sicurezza hardware, per accedere su un altro dispositivo, ad esempio un laptop. Per ulteriori informazioni, consulta Cross-device authentication (CDA).

Puoi sincronizzare le passkey tra i tuoi dispositivi per facilitare gli accessi con AWS e migliorare l'usabilità e la recuperabilità. Per ulteriori informazioni sull'abilitazione delle passkey e delle chiavi di sicurezza, consulta Abilitare una passkey o una chiave di sicurezza per l'utente root (console).

FIDO Alliance mantiene un elenco di tutti i prodotti certificati FIDO compatibili con le specifiche FIDO.

Applicazioni di autenticazione virtuale

Un'applicazione di autenticazione virtuale che viene eseguita su un telefono o altro dispositivo e simula un dispositivo fisico. Le app di autenticazione virtuale implementano l'algoritmo TOTP (password monouso) e supportano più token su un singolo dispositivo. L'utente deve immettere un codice valido dal dispositivo quando richiesto durante la procedura di accesso. Ogni token assegnato a un utente deve essere univoco. Per autenticarsi, un utente non può digitare un codice dal token di un altro utente.

È consigliabile utilizzare un dispositivo MFA virtuale nell'attesa dell'approvazione di un acquisto hardware o della consegna del dispositivo hardware. Per un elenco di alcune delle app supportate che puoi utilizzare come dispositivi MFA virtuali, consulta la pagina Autenticazione a più fattori (MFA).

Per istruzioni sulla configurazione di un dispositivo MFA virtuale per un utente IAM, consulta Assegnare un dispositivo MFA virtuale nella Console di gestione AWS.

Nota

I dispositivi MFA virtuali non assegnati nel tuo Account AWS vengono eliminati quando aggiungi nuovi dispositivi MFA virtuali tramite la Console di gestione AWS o durante la procedura di accesso. I dispositivi MFA virtuali non assegnati sono dispositivi presenti nell'account ma non utilizzati dall'utente root dell'account o dagli utenti IAM per il processo di accesso. Vengono eliminati in modo da poter aggiungere nuovi dispositivi MFA virtuali al tuo account. Questo consente anche di riutilizzare i nomi dei dispositivi.

  • Per visualizzare i dispositivi MFA virtuali non assegnati nel tuo account, puoi utilizzare la chiamata API o il comando della AWS CLI list-virtual-mfa-devices.

  • Per disattivare un dispositivo MFA virtuale, puoi utilizzare la chiamata API o il comando della AWS CLI deactivate-mfa-device. Verrà annullata l'assegnazione del dispositivo.

  • Per collegare un dispositivo MFA virtuale non assegnato all'utente root dell'Account AWS o agli utenti IAM, avrai bisogno del codice di autenticazione generato dal dispositivo insieme alla chiamata API o al comando della AWS CLI enable-mfa-device.

Token TOTP hardware

Un dispositivo hardware che genera un codice numerico a sei cifre basato sull'algoritmo con password monouso. L'utente deve immettere un codice valido dal dispositivo su una seconda pagina Web durante la procedura di accesso.

Questi token vengono utilizzati esclusivamente con Account AWS. Puoi utilizzare solo token con i cui token seed unici vengono condivisi in modo sicuro con AWS. I token seed sono chiavi segrete generate al momento della produzione dei token. I token acquistati da altre origini non funzioneranno con IAM. Per garantire la compatibilità, è necessario acquistare il dispositivo hardware MFA da uno dei seguenti link: token OTP o scheda video OTP.

  • Ogni dispositivo MFA assegnato a un utente deve essere univoco. Per essere autenticati, gli utenti non possono digitare un codice generato dal dispositivo di un altro utente. Per informazioni sui dispositivi MFA hardware supportati, consulta Autenticazione a più fattori (MFA).

  • Se desideri utilizzare un dispositivo MFA fisico, ti consigliamo di utilizzare le chiavi di sicurezza come alternativa ai dispositivi TOTP hardware. Le chiavi di sicurezza non richiedono batterie, sono resistenti al phishing e supportano più utenti su un singolo dispositivo.

È possibile abilitare una passkey o una chiave di sicurezza solo dalla Console di gestione AWS e non dalla AWS CLI o dall'API AWS. Prima di abilitare una chiave di sicurezza, è necessario disporre di un accesso fisico al dispositivo.

Per le istruzioni di configurazione di un token TOTP hardware per un utente IAM, consulta Assegnare un token TOTP hardware nella Console di gestione AWS.

Nota

Autenticazione MFA basata su SMS. AWS ha terminato il supporto per l'abilitazione dell'autenticazione a più fattori (MFA) tramite SMS. Consigliamo ai clienti con utenti IAM che utilizzano la MFA basata su SMS di passare a uno dei seguenti metodi alternativi di autenticazione a più fattori: passkey o chiave di sicurezza, dispositivo MFA virtuale (basato su software) o dispositivo MFA basato su hardware. Puoi identificare gli utenti nel tuo account con un dispositivo MFA SMS assegnato. Nella console IAM, seleziona Utenti dal pannello di navigazione e cerca gli utenti con l'opzione SMS nella colonna MFA della tabella.

Suggerimenti per MFA

Per proteggere le identità AWS, segui questi suggerimenti per l'autenticazione con MFA.

  • Consigliamo di abilitare più dispositivi MFA per l'Utente root dell'account AWS e per gli utenti IAM del tuo Account AWS. Ciò consente di aumentare la sicurezza degli Account AWS e semplificare la gestione dell'accesso agli utenti con privilegi elevati, come l'Utente root dell'account AWS.

  • Puoi registrare fino a otto dispositivi MFA in qualsiasi combinazione dei tipi di MFA attualmente supportati con l'Utente root dell'account AWS e gli utenti IAM. Con più dispositivi MFA, è necessario un solo dispositivo MFA per accedere alla Console di gestione AWS o creare una sessione tramite la AWS CLI con tale utente. Per abilitare o disabilitare un dispositivo MFA aggiuntivo, un utente IAM deve prima autenticarsi con un dispositivo MFA esistente.

  • In caso di smarrimento, furto o inaccessibilità del dispositivo MFA, puoi possibile utilizzare uno dei dispositivi MFA rimanenti per accedere all'Account AWS senza eseguire la procedura di ripristino dell'Account AWS. In caso di smarrimento o furto di un dispositivo MFA, consigliamo di dissociare il dispositivo dal principale IAM a cui era associato.

  • L'uso di più MFA consente ai tuoi dipendenti dislocati geograficamente o che lavorano in remoto di utilizzare l'MFA basata su hardware per l'accesso ad AWS senza dover coordinare lo scambio fisico di un singolo dispositivo hardware tra i dipendenti.

  • L'uso di dispositivi MFA aggiuntivi per i principali IAM consente di utilizzare uno o più MFA per l'uso quotidiano, mantenendo al contempo i dispositivi MFA fisici in un luogo fisico sicuro come un vault o una cassaforte per il backup e la ridondanza.

Note

  • Non puoi trasferire le informazioni MFA relative a una chiave di sicurezza FIDO alle operazioni dell'API AWS STS al fine di richiedere delle credenziali temporanee.

  • Non puoi utilizzare i comandi di AWS CLI o le operazioni dell'API AWS per abilitare le chiavi di sicurezza FIDO.

  • Non puoi utilizzare lo stesso nome per più di un utente root o dispositivo MFA IAM.

Risorse aggiuntive

Le seguenti risorse possono rivelarsi utili per saperne di più sull'MFA.

  • Per ulteriori informazioni sull'utilizzo dell'MFA per accedere a AWS, consulta Accesso abilitato con MFA.

  • Puoi avvalerti del Centro identità IAM per abilitare l'accesso MFA sicuro al portale di accesso AWS, alle app integrate del Centro identità IAM e alla AWS CLI. Per ulteriori informazioni, consulta Abilitare l'MFA nel Centro identità IAM.