Autentikasi Multi-Faktor (MFA) untuk IAM

Apa itu MFA?

Autentikasi Multifaktor AWS (MFA) adalah praktik terbaik AWS Identity and Access Management (IAM) yang memerlukan faktor autentikasi kedua selain kredensial nama pengguna dan kata sandi masuk. Anda dapat mengaktifkan MFA di tingkat akun AWS untuk pengguna root dan IAM yang telah dibuat di akun Anda.  
 
AWS memperluas kelayakan untuk program kunci keamanan MFA gratisnya. Verifikasi kelayakan Anda dan pesan kunci MFA gratis Anda.
 
Dengan mengaktifkan MFA, ketika pengguna masuk ke Konsol Manajemen AWS, mereka diminta untuk memasukkan nama pengguna dan kata sandi, sesuatu yang mereka ketahui, dan kode autentikasi dari perangkat MFA, sesuatu yang mereka miliki (atau jika mereka menggunakan autentikator yang diaktifkan biometrik, sesuatu tentang mereka). Secara keseluruhan, faktor-faktor ini meningkatkan keamanan untuk akun dan sumber daya AWS Anda.
 
Sebaiknya Anda mewajibkan pengguna manusia Anda untuk menggunakan kredensial sementara saat mengakses AWS. Pengguna Anda dapat menggunakan penyedia identitas untuk bergabung ke AWS, tempat mereka dapat mengautentikasi dengan kredensial perusahaan dan konfigurasi MFA mereka. Untuk mengelola akses ke AWS dan aplikasi bisnis, sebaiknya gunakan Pusat Identitas AWS IAM. Untuk informasi selengkapnya, lihat Panduan Pengguna Pusat Identitas IAM.
 
Lihat opsi MFA berikut yang tersedia yang dapat Anda gunakan dengan implementasi IAM MFA Anda. Anda dapat mengunduh aplikasi autentikator virtual melalui tautan yang disediakan, atau Anda dapat memperoleh perangkat MFA perangkat keras dari masing-masing produsen. Setelah memperoleh perangkat MFA yang didukung perangkat keras atau virtual, AWS tidak mengenakan biaya tambahan untuk menggunakan MFA.

Metode MFA yang tersedia untuk IAM

Anda dapat mengelola perangkat MFA Anda di konsol IAM. Opsi berikut adalah metode MFA yang didukung IAM.

Kunci sandi dan kunci keamanan

Kunci sandi dan kunci keamanan memakai standar FIDO untuk memfasilitasi proses masuk yang lebih mudah dan aman di seluruh perangkat pengguna Anda. Standar autentikasi FIDO didasarkan pada kriptografi kunci publik, yang memungkinkan autentikasi kuat dan tahan phishing yang lebih aman daripada kata sandi. Kunci sandi dibuat dengan penyedia kunci keamanan pilihan Anda, seperti iCloud Keychain, Google Password Manager, 1Password, atau Dashlane menggunakan sidik jari, wajah, atau PIN perangkat, dan kunci sandi tersebut disinkronkan di seluruh perangkat Anda untuk masuk dengan AWS. Pelanggan juga dapat menggunakan kunci sandi terikat perangkat, atau dikenal sebagai kunci keamanan, yang disediakan oleh penyedia pihak ketiga seperti Yubico. FIDO Alliance mengelola daftar semua produk bersertifikat FIDO yang kompatibel dengan spesifikasi FIDO. Kunci keamanan FIDO dapat mendukung beberapa akun root dan pengguna IAM menggunakan satu kunci keamanan. Kunci sandi dan kunci keamanan didukung untuk pengguna root dan IAM di semua AWS,Region kecuali AWS Region Tiongkok (Beijing), yang dioperasikan oleh Sinnet, dan AWS Region (Ningxia), yang dioperasikan oleh NWCD. Untuk informasi selengkapnya mengenai pengaktifan kunci keamanan FIDO, lihat Mengaktifkan kunci sandi atau kunci keamanan.

AWS menawarkan kunci keamanan MFA gratis kepada pemilik akun AWS yang memenuhi syarat di Amerika Serikat. Untuk menentukan kelayakan dan memesan kunci, lihat konsol Security Hub.

Aplikasi autentikator virtual

Aplikasi autentikator virtual mengimplementasikan algoritma kata sandi sekali pakai berbasis waktu (TOTP) dan mendukung beberapa token pada satu perangkat. Autentikator virtual didukung untuk pengguna IAM di Wilayah AWS GovCloud (AS) dan di AWS Region lainnya. Untuk informasi selengkapnya mengenai pengaktifan autentikator virtual, lihat Mengaktifkan perangkat autentikasi multifaktor (MFA) virtual.

Anda dapat menginstal aplikasi untuk ponsel pintar Anda dari app store khusus sesuai tipe ponsel pintar Anda. Beberapa penyedia aplikasi juga menyediakan aplikasi web dan desktop. Lihat tabel berikut untuk contohnya.

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

Token TOTP perangkat keras

Token perangkat keras juga mendukung algoritma TOTP dan disediakan oleh Thales sebagai penyedia pihak ketiga. Token ini untuk digunakan secara eksklusif dengan akun AWS. Untuk informasi selengkapnya, lihat Mengaktifkan perangkat MFA perangkat keras.

Untuk memastikan kompatibilitas dengan AWS, Anda harus membeli token MFA melalui tautan di halaman ini. Token yang dibeli dari sumber lain mungkin tidak berfungsi dengan IAM karena AWS memerlukan “sumber token” unik, kunci rahasia yang dihasilkan pada saat pembuatan token. Hanya token yang dibeli melalui tautan di halaman ini yang sumber tokennya dibagikan secara aman dengan AWS. Token MFA ditawarkan dalam dua bentuk: token OTP dan kartu tampilan OTP.

Token TOTP perangkat keras untuk Wilayah AWS GovCloud (AS)

Token TOTP perangkat keras kompatibel dengan Wilayah AWS GovCloud (AS) dan disediakan oleh Hypersecu sebagai penyedia pihak ketiga. Token ini dimaksudkan untuk digunakan secara eksklusif oleh pengguna IAM dengan akun AWS GovCloud (AS).

Untuk memastikan kompatibilitas dengan AWS, Anda harus membeli token MFA melalui tautan di halaman ini. Token yang dibeli dari sumber lain mungkin tidak berfungsi dengan IAM karena AWS memerlukan “sumber token” unik, kunci rahasia yang dihasilkan pada saat pembuatan token. Hanya token yang dibeli melalui tautan di halaman ini yang sumber tokennya dibagikan secara aman dengan AWS. Token MFA ditawarkan dalam format token OTP.