Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos
Die Multi-Faktor-Authentifizierung (MFA) ist ein einfacher und effektiver Mechanismus zur Verbesserung Ihrer Sicherheit. Der erste Faktor – Ihr Passwort – ist ein Geheimnis, das Sie sich merken, auch Wissensfaktor genannt. Andere Faktoren können Besitzfaktoren (etwas, das Sie besitzen, wie etwa ein Sicherheitsschlüssel) oder Inhärenzfaktoren (etwas, das Sie sind, wie etwa ein biometrischer Scan) sein. Zur Erhöhung der Sicherheit empfehlen wir Ihnen dringend, die Multi-Faktor-Authentifizierung (MFA) zu konfigurieren, um Ihre AWS-Ressourcen zu schützen.
Anmerkung
Alle AWS-Konto-Typen (eigenständige Konten, Verwaltungs- und Mitgliedskonten) erfordern die Konfiguration von MFA für ihren Root-Benutzer. Benutzer müssen MFA innerhalb von 35 Tagen nach ihrem ersten Anmeldeversuch registrieren, um auf die AWS-Managementkonsole zugreifen zu können, wenn MFA noch nicht aktiviert ist.
Sie können MFA für IAM-Benutzer oder Root-Benutzer des AWS-Kontos aktivieren. Wenn Sie MFA für den Root-Benutzer aktivieren, wirkt sich dies nur auf die Anmeldeinformationen des Root-Benutzers aus. Weitere Informationen zum Aktivieren von MFA für Ihre IAM-Benutzer finden Sie unter AWS-Multi-Faktor-Authentifizierung in IAM.
Anmerkung
AWS-Konten, die mit AWS Organizations verwaltet werden, verfügen möglicherweise über die Option, den Root-Zugriff für Mitgliedskonten zentral zu verwalten, um die Wiederherstellung von Anmeldeinformationen und den Zugriff in großem Umfang zu verhindern. Wenn diese Option aktiviert ist, können Sie die Anmeldeinformationen des Root-Benutzers aus den Mitgliedskonten löschen, einschließlich Passwörtern und MFA, wodurch die Anmeldung als Root-Benutzer, die Passwortwiederherstellung oder die Einrichtung von MFA effektiv verhindert wird. Wenn Sie lieber passwortbasierte Anmeldemethoden beibehalten möchten, können Sie Ihr Konto zusätzlich sichern, indem Sie MFA registrieren, um den Schutz Ihres Kontos zu verbessern.
Bevor Sie MFA für Ihren Root-Benutzer aktivieren, überprüfen und aktualisieren Sie Ihre Kontoeinstellungen und Kontaktinformationen, um sicherzustellen, dass Sie Zugriff auf die E-Mail-Adresse und Telefonnummer haben. Wenn Ihr MFA-Gerät verloren geht, gestohlen wird oder nicht funktioniert, können Sie sich immer noch als Stammbenutzer anmelden, indem Sie Ihre Identität mit dieser E-Mail und Telefonnummer verifizieren. Weitere Informationen zum Anmelden mit alternativen Authentifizierungsmethoden finden Sie unter Wiederherstellung einer MFA-geschützten Identität in IAM. Wenn Sie dieses Feature deaktivieren möchten, wenden Sie sich an AWS -Support
AWS unterstützt die folgenden MFA-Typen für Ihren Root-Benutzer:
Passkeys und Sicherheitsschlüssel
AWS Identity and Access Management unterstützt Passkeys und Sicherheitsschlüssel für MFA. Passkeys basieren auf FIDO-Standards und verwenden die Kryptografie mit öffentlichen Schlüsseln, um eine starke, Phishing-resistente Authentifizierung bereitzustellen, die sicherer ist als Passwörter. AWS unterstützt zwei Arten von Passkeys: gerätegebundene Passkeys (Sicherheitsschlüssel) und synchronisierte Passkeys.
-
Sicherheitsschlüssel: Hierbei handelt es sich um physische Geräte wie einen YubiKey, die als zweiter Faktor zur Authentifizierung verwendet werden. Ein einzelner Sicherheitsschlüssel kann mehrere Root-Benutzerkonten und IAM-Benutzer unterstützen.
-
Synchronisierte Passkeys: Diese nutzen Anmeldeinformationen von Anbietern wie Google, Apple, Microsoft-Konten und Drittanbieter-Services wie 1Password, Dashlane und Bitwarden als zweiten Faktor.
Sie können integrierte biometrische Authentifikatoren wie Touch ID auf Apple MacBooks verwenden, um Ihren Anmeldeinformationen-Manager zu entsperren und sich in AWS anzumelden. Passkeys werden bei Ihrem ausgewählten Anbieter anhand Ihres Fingerabdrucks, Gesichts oder der Geräte-PIN erstellt. Sie können auch einen Passkey für die geräteübergreifende Authentifizierung (CDA) auf einem Gerät, z. B. einem Mobilgerät oder einem Hardware-Sicherheitsschlüssel, verwenden, um sich auf einem anderen Gerät, z. B. einem Laptop, anzumelden. Weitere Informationen finden Sie unter Geräteübergreifende Authentifizierung
Sie können Passkeys auf Ihren Geräten synchronisieren, um die Anmeldung bei AWS zu vereinfachen und die Benutzerfreundlichkeit und Wiederherstellbarkeit zu verbessern. Weitere Informationen zum Aktivieren von Passkeys und Sicherheitsschlüsseln finden Sie unter Aktivieren eines Passkey oder Sicherheitsschlüssels für den Root-Benutzer (Konsole).
Die FIDO Alliance führt eine Liste aller FIDO-zertifizierten Produkte
Anwendungen für virtuelle Authentifikatoren
Eine Anwendung zur virtuellen Authentifizierung wird auf einem Telefon oder einem anderen Gerät ausgeführt und emuliert ein physisches Gerät. Virtuelle Authentifizierungs-Apps implementieren den Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP)
Wir empfehlen die Verwendung eines virtuellen MFA-Geräts beim Warten auf die Genehmigung für den Hardware-Kauf oder während Sie warten, bis Ihre Hardware eintrifft. Eine Liste einiger unterstützter Anwendungen, die Sie als virtuelle MFA-Geräte verwenden können, finden Sie unter Multi-Faktor-Authentifizierung (MFA)
Hardware-TOTP-Token
Ein Hardwaregerät generiert einen sechsstelligen numerischen Code basierend auf dem zeitgesteuerten Einmalpasswort (TOTP)-Algorithmus
Wenn Sie ein physisches MFA-Gerät verwenden möchten, empfehlen wir Ihnen, FIDO-Sicherheitsschlüssel als Alternative zu Hardware-TOTP-Geräten zu verwenden. FIDO-Sicherheitsschlüssel bieten die Vorteile, dass sie keine Batterie benötigen, Phishing-resistent sind und zur Verbesserung der Sicherheit mehrere Root- und IAM-Benutzer auf einem einzigen Gerät unterstützen.
Themen
