Clés d’accès et clés de sécurité Applications d’authentification virtuelle Jetons TOTP matériels

Authentification multifactorielle pour Utilisateur racine d'un compte AWS

L’authentification multifactorielle (MFA) est un mécanisme simple et efficace pour renforcer votre sécurité. Le premier facteur, votre mot de passe, est un secret que vous mémorisez, également appelé facteur de connaissance. Les autres facteurs peuvent être des facteurs liés à la possession (quelque chose que vous possédez, comme une clé de sécurité) ou des facteurs inhérents (quelque chose que vous êtes, comme un scan biométrique). Pour plus de sécurité, nous vous recommandons de configurer l’authentification multifactorielle (MFA) pour mieux protéger vos ressources AWS.

Note

Tous les types d’Compte AWS (comptes autonomes, comptes de gestion et comptes membres) nécessitent la configuration de l’authentification multifacteur (MFA) pour leur utilisateur racine. Les utilisateurs doivent enregistrer l’authentification multifactorielle (MFA) dans les 35 jours suivant leur première tentative de connexion à l’AWS Management Console si la MFA n’est pas déjà activée.

Vous pouvez activer l'authentification MFA pour le Utilisateur racine d'un compte AWS et les utilisateurs IAM. Lorsque vous activez la MFA pour l’utilisateur racine, cela n’affecte que les informations d’identification de l’utilisateur racine. Pour en savoir plus sur l’activation de la MFA pour les utilisateurs IAM, consultez Authentication multifactorielle AWS dans IAM.

Note

Les Comptes AWS gérés à l’aide d’AWS Organizations peuvent disposer d’une option permettant de gérer de manière centralisée l’accès racine aux comptes membres afin d’empêcher la récupération des informations d’identification et l’accès à grande échelle. Si cette option est activée, vous pouvez supprimer les informations d’identification de l’utilisateur racine des comptes membres, y compris les mots de passe et l’authentification multifactorielle (MFA), empêchant ainsi efficacement la connexion en tant qu’utilisateur racine, la récupération du mot de passe ou la configuration de la MFA. Si vous préférez conserver les méthodes de connexion par mot de passe, sécurisez votre compte en enregistrant l’authentification multifactorielle (MFA) afin de renforcer la protection de votre compte.

Avant d’activer la MFA pour votre utilisateur racine, vérifiez et mettez à jour les paramètres de votre compte et les informations de contact pour vous assurer que vous avez accès à l’adresse e-mail et au numéro de téléphone. Si votre dispositif MFA est perdu, volé ou ne fonctionne pas, vous pouvez toujours vous connecter en tant qu'utilisateur racine en vérifiant votre identité à l'aide de cet e-mail et de ce numéro de téléphone. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez Restauration d’une identité protégée par MFA dans IAM. Pour désactiver cette fonction, contactez AWS Support.

AWS prend en charge les types de MFA suivants pour votre utilisateur racine :

Clés d’accès et clés de sécurité
Applications d’authentification virtuelle
Jetons TOTP matériels

Clés d’accès et clés de sécurité

AWS Identity and Access Management prend en charge les clés d’accès et les clés de sécurité pour la MFA. Basées sur les normes FIDO, les clés d’accès utilisent la cryptographie à clé publique pour fournir une authentification forte, résistante au hameçonnage et plus sécurisée que les mots de passe. AWS prend en charge deux types de clés d’accès : les clés d’accès liées au dispositif (clés de sécurité) et les clés d’accès synchronisées.

Clés de sécurité : il s’agit de dispositifs physiques, tels qu’une YubiKey, utilisés comme deuxième facteur d’authentification. Une clé de sécurité unique peut prendre en charge plusieurs comptes utilisateur racine et utilisateurs IAM.
Clés d’accès synchronisées : elles utilisent des gestionnaires d’informations d’identification provenant de fournisseurs tels que Google, Apple, Microsoft et de services tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur.

Vous pouvez utiliser des authentificateurs biométriques intégrés, tels que Touch ID sur les MacBooks d’Apple, pour déverrouiller votre gestionnaire d’informations d’identification et vous connecter à AWS. Les clés d’accès sont créées avec le fournisseur de votre choix à l’aide de votre empreinte digitale, de votre visage ou du code PIN de votre appareil. Vous pouvez utiliser une clé d’accès d’authentification entre appareils (CDA) provenant d’un appareil, comme un appareil mobile ou une clé de sécurité matérielle, pour vous connecter sur un autre appareil, tel qu’un ordinateur portable. Pour plus d’informations, consultez Authentification entre appareils (CDA).

Vous pouvez synchroniser les clés d’accès sur tous vos appareils pour faciliter les connexions à AWS et améliorer la convivialité et la récupérabilité. Pour plus d’informations sur l’activation des clés d’accès et des clés de sécurité, consultez Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console).

La FIDO Alliance tient à jour une liste de tous les produits certifiés FIDO qui sont compatibles avec les spécifications FIDO.

Applications d’authentification virtuelle

Une application d’authentification virtuelle s’exécute sur un téléphone ou un autre dispositif et émule un dispositif physique. Les applications d'authentification virtuelle mettent en œuvre l'algorithme TOTP (mot de passe unique à durée limitée) et prennent en charge plusieurs jetons sur un seul dispositif. L’utilisateur doit saisir un code valide à partir du dispositif lorsqu’il y est invité lors de la connexion. Chaque jeton attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code provenant du jeton d’un autre utilisateur pour s’authentifier.

Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel. Pour obtenir une liste des applications que vous pouvez utiliser comme dispositifs MFA virtuels, consultez Authentification multifactorielle (MFA). Pour plus d'informations sur la configuration d'un dispositif MFA virtuel AWS, consultez Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console).

Jetons TOTP matériels

Un dispositif matériel qui génère un code numérique à six chiffres basé sur l’algorithme TOTP (mot de passe unique à durée limitée). L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion. Chaque dispositif MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d’informations sur les dispositifs MFA matériels pris en charge, consultez Authentification multifactorielle (MFA). Pour plus d'informations sur la configuration d'un jeton TOTP matériel avec AWS, consultez Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console).

Si vous souhaitez utiliser un dispositif MFA physique, nous vous recommandons d’utiliser les clés de sécurité FIDO comme alternative aux périphériques TOTP matériels. Les clés de sécurité FIDO offrent les avantages de ne pas nécessiter de batterie, de résister au hameçonnage et de prendre en charge plusieurs utilisateurs racine et utilisateurs IAM sur un seul appareil pour une sécurité renforcée.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exécuter une tâche privilégiée

Activation d’une clé d’accès ou d’une clé de sécurité