Configurations prises en charge pour l’utilisation des clés d’accès et des clés de sécurité - AWS Identity and Access Management
FIDO2 appareils pris en charge par AWSNavigateurs compatibles FIDO2Certifications des appareilsAWS CLI et AWS APIRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurations prises en charge pour l’utilisation des clés d’accès et des clés de sécurité

Vous pouvez utiliser des clés d'accès FIDO2 liées à l'appareil, également appelées clés de sécurité, comme méthode d'authentification multifactorielle (MFA) avec IAM en utilisant les configurations actuellement prises en charge. Il s'agit notamment FIDO2 des appareils compatibles avec IAM et des navigateurs compatibles FIDO2. Avant d'enregistrer votre FIDO2 appareil, vérifiez que vous utilisez la dernière version du navigateur et du système d'exploitation (OS). Les fonctionnalités peuvent se comporter différemment selon les navigateurs, les authentificateurs et les clients du système d’exploitation. Si l’enregistrement de votre dispositif échoue sur un navigateur, vous pouvez essayer de vous enregistrer avec un autre navigateur.

FIDO2 est une norme d'authentification ouverte et une extension de FIDO U2F, offrant le même haut niveau de sécurité basé sur la cryptographie à clé publique. FIDO2 comprend la spécification d'authentification Web (WebAuthn API) du W3C et le protocole FIDO Alliance (CTAP), un Client-to-Authenticator protocole de couche application. CTAP permet la communication entre le client ou la plateforme, comme un navigateur ou un système d'exploitation, avec un authentificateur externe. Lorsque vous activez un authentificateur certifié FIDO AWS, la clé de sécurité crée une nouvelle paire de clés à utiliser uniquement. AWS Tout d'abord, saisissez vos informations d'identification. Lorsque vous y êtes invité, insérez la clé de sécurité, qui répond au défi d’authentification émis par AWS. Pour en savoir plus sur la FIDO2 norme, consultez le FIDO2projet.

FIDO2 appareils pris en charge par AWS

IAM prend en charge les dispositifs de FIDO2 sécurité qui se connectent à vos appareils via USB ou NFC. Bluetooth IAM prend également en charge les authentificateurs de plateforme comme TouchID ou FaceID. IAM ne prend pas en charge l’enregistrement de clés d’accès locales pour Windows Hello. Pour créer et utiliser des clés d’accès, les utilisateurs de Windows doivent utiliser l’authentification entre appareils, qui consiste à utiliser une clé d’accès provenant d’un appareil, comme un appareil mobile, ou une clé de sécurité matérielle pour se connecter sur un autre appareil, tel qu’un ordinateur portable.

Note

AWS nécessite l'accès au port USB physique de votre ordinateur pour vérifier votre FIDO2 appareil. Les clés de sécurité ne fonctionnent pas avec une machine virtuelle, une connexion à distance ou le mode de navigation privée d’un navigateur.

L'Alliance FIDO tient à jour une liste de tous les FIDO2produits compatibles avec les spécifications FIDO.

Navigateurs compatibles FIDO2

La disponibilité des dispositifs de FIDO2 sécurité exécutés dans un navigateur Web dépend de la combinaison du navigateur et du système d'exploitation. Les navigateurs suivants prennent actuellement en charge l’utilisation de clés de sécurité :

Navigateur Web macOS 10.15+ Windows 10 Linux iOS 14.5+ Android 7+
Chrome Oui Oui Oui Oui Non
Safari Oui Non Non Oui Non
Edge Oui Oui Non Oui Non
Firefox Oui Oui Non Oui Non
Note

La plupart des versions de Firefox actuellement compatibles FIDO2 ne l'activent pas par défaut. Pour obtenir des instructions sur l'activation du FIDO2 support dans Firefox, consultezRésolution des problèmes liés aux clés d’accès et aux clés de sécurité FIDO.

Firefox sur macOS peut ne pas prendre pleinement en charge les flux de travail d’authentification entre appareils pour les clés d’accès. Il se peut que vous soyez invité à toucher une clé de sécurité au lieu de procéder à une authentification entre appareils. Nous vous recommandons d’utiliser un autre navigateur, tel que Chrome ou Safari, pour vous connecter à l’aide de clés d’accès sur macOS.

Pour plus d'informations sur la prise en charge par navigateur pour un appareil FIDO2 certifié tel que YubiKey, voir Support du système d'exploitation et du navigateur Web pour FIDO2 U2F.

Plug-ins de navigateur

AWS ne prend en charge que les navigateurs compatibles nativement. FIDO2 AWS ne prend pas en charge l'utilisation de plugins pour ajouter FIDO2 le support du navigateur. Certains plugins de navigateur sont incompatibles avec la FIDO2 norme et peuvent entraîner des résultats inattendus avec les clés FIDO2 de sécurité.

Pour plus d'informations sur la désactivation des plug-ins et pour obtenir d'autres conseils de dépannage, consultez Je ne peux pas activer ma clé de sécurité FIDO.

Certifications des appareils

Nous ne saisissons et n’attribuons les certifications liées au dispositif, telles que la validation FIPS et le niveau de certification FIDO, que lors de l’enregistrement d’une clé de sécurité. La certification de votre appareil est extraite du FIDO Alliance Metadata Service (MDS). Si le statut ou le niveau de certification de votre clé de sécurité change, celui-ci n’apparaîtra pas automatiquement dans les balises du dispositif. Pour mettre à jour les informations de certification d'un appareil, enregistrez à nouveau l'appareil pour récupérer les informations de certification mises à jour.

AWS fournit les types de certification suivants sous forme de clés de condition lors de l'enregistrement de l'appareil, obtenus à partir de FIDO MDS : niveaux de certification FIPS-140-2, FIPS-140-3 et FIDO. Vous avez la possibilité de spécifier l'enregistrement d'authentificateurs spécifiques dans leurs politiques IAM, en fonction du type et du niveau de certification que vous préférez. Pour plus d'informations, consultez les politiques ci-dessous.

Exemples de politiques pour la certification des appareils

Les cas d'utilisation suivants présentent des exemples de politiques qui vous permettent d'enregistrer des appareils MFA avec des certifications FIPS.

Cas d'utilisation 1 : autoriser uniquement l'enregistrement des appareils certifiés FIPS-140-2 L2

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}

Cas d'utilisation 2 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 et FIDO L1

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}

Cas d'utilisation 3 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 ou FIPS-140-3 L2

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}

Cas d'utilisation n°4 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 et prenant en charge d'autres types de MFA, tels que les authentificateurs virtuels et le TOTP matériel

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Activate",
                    "iam:FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iam:RegisterSecurityKey": "true"
                }
            }
        }
    ]
}

AWS CLI et AWS API

AWS prend en charge l'utilisation de clés d'accès et de clés de sécurité uniquement dans le AWS Management Console. L’utilisation des clés d’accès et des clés de sécurité pour l’authentification multifactorielle (MFA) n’est prise en charge ni dans l’AWS CLI, ni dans l’API AWS, ni pour l’accès aux opérations d’API protégées par l’authentification multifactorielle (MFA).

Ressources supplémentaires