Multi-Faktor-Authentifizierung (MFA) für IAM

Was ist MFA?

Die AWS-Multi-Faktor-Authentifizierung (MFA) ist eine bewährte Methode für AWS Identity and Access Management (IAM), die zusätzlich zu den Anmeldeinformationen von Benutzername und Passwort einen zweiten Authentifizierungsfaktor erfordert. Sie können MFA auf AWS-Kontoebene sowie für Root- und IAM-Benutzer aktivieren, die Sie in Ihrem Konto erstellt haben.  
 
AWS erweitert die Teilnahmevoraussetzungen für sein kostenloses MFA-Sicherheitsschlüsselprogramm. Überprüfen Sie Ihre Berechtigung und bestellen Sie Ihren kostenlosen MFA-Schlüssel.
 
Wenn MFA aktiviert ist, wird ein Benutzer bei der Anmeldung an der AWS-Managementkonsole aufgefordert, den Benutzernamen und das Passwort einzugeben – etwas, das der Benutzer kennt – und einen Authentifizierungscode von seinem MFA-Gerät – etwas, das der Benutzer besitzt (oder, wenn ein biometrisch aktivierter Authentifikator verwendet wird, etwas, das der Benutzer ist). Zusammengenommen verbessern diese Faktoren die Sicherheit Ihrer AWS-Konten und -Ressourcen.
 
Wir empfehlen Ihnen, von Ihren menschlichen Benutzern die Verwendung temporärer Anmeldeinformationen beim Zugriff auf AWS zu verlangen. Ihre Benutzer können einen Identitätsanbieter verwenden, um eine Verbindung zu AWS herzustellen, wo sie sich mit den Anmeldeinformationen ihres Unternehmens und MFA-Konfigurationen authentifizieren können. Um den Zugriff auf AWS und Geschäftsanwendungen zu verwalten, empfehlen wir die Verwendung von AWS IAM Identity Center. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.
 
Sehen Sie sich die folgenden verfügbaren MFA-Optionen an, die Sie mit Ihrer IAM-MFA-Implementierung verwenden können. Sie können virtuelle Authentifizierungs-Apps über die bereitgestellten Links herunterladen oder ein Hardware-MFA-Gerät vom jeweiligen Hersteller erwerben. Nachdem Sie ein unterstütztes virtuelles oder Hardware-MFA-Gerät erworben haben, erhebt AWS keine zusätzlichen Gebühren für die Nutzung von MFA.

Verfügbare MFA-Methoden für IAM

Sie können Ihre MFA-Geräte in der IAM-Konsole verwalten. Die folgenden Optionen sind die MFA-Methoden, die IAM unterstützt.

Hauptschlüssel und Sicherheitsschlüssel

Hauptschlüssel und Sicherheitsschlüssel basieren auf FIDO-Standards, um einfachere und sicherere Anmeldungen auf allen Geräten Ihrer Benutzer zu ermöglichen. Die FIDO-Authentifizierungsstandards basieren auf der Kryptographie mit öffentlichen Schlüsseln, die eine starke, phishing-resistente Authentifizierung ermöglicht, welche sicherer ist als Passwörter. Hauptschlüssel werden mit Ihrem ausgewählten Hauptschlüssel-Anbieter wie iCloud Keychain, Google Password Manager, 1Password oder Dashlane mithilfe Ihres Fingerabdrucks, Ihrer Gesichts- oder Geräte-PIN erstellt und auf Ihren Geräten für die Anmeldung bei AWS synchronisiert. Kunden können auch gerätegebundene Hauptschlüssel verwenden, auch bekannt als Sicherheitsschlüssel, die von Drittanbietern wie Yubico bereitgestellt werden. Die FIDO Alliance führt eine Liste aller FIDO-zertifizierten Produkte, die mit den FIDO-Spezifikationen kompatibel sind. FIDO-Sicherheitsschlüssel können mehrere Root-Konten und IAM-Benutzer mit einem einzelnen Sicherheitsschlüssel unterstützen. Hauptschlüssel und Sicherheitsschlüssel werden für Root- und IAM-Benutzer in allen AWS-Regionen unterstützt, mit Ausnahme der AWS-Region China (Peking), betrieben von Sinnet, und der AWS-Region (Ningxia), die von NWCD betrieben wird. Weitere Informationen zur Aktivierung von FIDO-Sicherheitsschlüsseln finden Sie unter Aktivieren eines Hauptschlüssels oder Sicherheitsschlüssels.

AWS bietet berechtigten AWS-Kontoinhabern in den USA einen kostenlosen MFA-Sicherheitsschlüssel an. Informationen zur Bestimmung der Berechtigung und zum Bestellen eines Schlüssels finden Sie in der Security-Hub-Konsole.

Virtuelle Authentifizierungsanwendungen

Virtuelle Authentifizierungs-Apps implementieren den TOTP-Algorithmus (zeitgesteuertes Einmalpasswort (TOTP)) und unterstützen mehrere Token auf einem einzigen Gerät. Virtuelle Authentifikatoren werden für IAM-Benutzer in den Regionen AWS GovCloud (USA) und anderen AWS-Regionen unterstützt. Weitere Informationen zur Aktivierung virtueller Authentifikatoren finden Sie unter Aktivieren eines Geräts für virtuelle Multi-Faktor-Authentifizierung (MFA).

Sie können Apps für Ihr Smartphone aus dem für Ihren Smartphone-Typ spezifischen App-Store installieren. Einige App-Anbieter bieten auch Web- und Desktop-Anwendungen an. Beispiele finden Sie in der folgenden Tabelle.

Android und höher Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

Hardware-TOTP-Token

Hardware-Token unterstützen auch den TOTP-Algorithmus und werden von Thales, einem Drittanbieter, bereitgestellt. Diese Token sind ausschließlich zur Verwendung mit AWS-Konten bestimmt. Weitere Informationen finden Sie unter Aktivieren eines Hardware-MFA-Geräts.

Um die Kompatibilität mit AWS sicherzustellen, müssen Sie Ihre MFA-Token über die Links auf dieser Seite erwerben. Token, die aus anderen Quellen gekauft wurden, funktionieren möglicherweise nicht mit IAM, da AWS eindeutige „Token-Seeds“ benötigt, geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Nur Token-Seeds, die über die Links auf dieser Seite gekauft wurden, werden sicher mit AWS geteilt. Die MFA-Token werden in zwei Formen angeboten: als OTP-Token und als OTP-Displaykarte.

Hardware-TOTP-Token für die Regionen AWS GovCloud (USA)

Hardware-TOTP-Token sind mit den Regionen AWS GovCloud (USA) kompatibel und werden von Hypersecu, einem Drittanbieter, bereitgestellt. Diese Token dürfen ausschließlich von IAM-Benutzern mit AWS GovCloud (USA)-Konten verwendet werden.

Um die Kompatibilität mit AWS sicherzustellen, müssen Sie Ihre MFA-Token über die Links auf dieser Seite erwerben. Token, die aus anderen Quellen gekauft wurden, funktionieren möglicherweise nicht mit IAM, da AWS eindeutige „Token-Seeds“ benötigt, geheime Schlüssel, die zum Zeitpunkt der Token-Produktion generiert werden. Nur Token-Seeds, die über die Links auf dieser Seite gekauft wurden, werden sicher mit AWS geteilt. Die MFA-Token werden im OTP-Token-Format angeboten.