Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi yang didukung untuk menggunakan kunci sandi dan kunci keamanan
Anda dapat menggunakan kunci sandi FIDO2 terikat perangkat, juga dikenal sebagai kunci keamanan, sebagai metode otentikasi multi-faktor (MFA) dengan IAM menggunakan konfigurasi yang didukung saat ini. Ini termasuk FIDO2 perangkat yang didukung oleh IAM dan browser yang mendukung FIDO2. Sebelum mendaftarkan FIDO2 perangkat, periksa apakah Anda menggunakan versi browser dan sistem operasi (OS) terbaru. Fitur dapat berperilaku berbeda di berbagai browser, autentikator, dan klien OS. Jika pendaftaran perangkat Anda gagal pada satu browser, Anda dapat mencoba mendaftar dengan browser lain.
FIDO2 adalah standar otentikasi terbuka dan perpanjangan dari FIDO U2F, menawarkan tingkat keamanan yang sama tinggi berdasarkan kriptografi kunci publik. FIDO2 terdiri dari spesifikasi W3C Web Authentication (WebAuthn API) dan FIDO Alliance Client-to-Authenticator Protocol (CTAP), sebuah protokol lapisan aplikasi. CTAP memungkinkan komunikasi antara klien atau platform, seperti browser atau sistem operasi, dengan autentikator eksternal. Saat Anda mengaktifkan autentikator Bersertifikat FIDO AWS, kunci keamanan akan membuat key pair baru untuk digunakan dengan saja. AWS Pertama, Anda memasukkan kredensial Anda. Saat diminta, Anda mengetuk kunci keamanan, yang merespons tantangan otentikasi yang dikeluarkan oleh. AWS Untuk mempelajari lebih lanjut tentang FIDO2 standar, lihat FIDO2Proyek
FIDO2 perangkat yang didukung oleh AWS
IAM mendukung perangkat FIDO2 keamanan yang terhubung ke perangkat Anda melalui USB,Bluetooth, atau NFC. IAM juga mendukung otentikator platform seperti TouchID atau FaceID. IAM tidak mendukung pendaftaran passkey lokal untuk Windows Hello. Untuk membuat dan menggunakan kunci sandi, pengguna Windows harus menggunakan otentikasi lintas perangkat
catatan
AWS memerlukan akses ke port USB fisik di komputer Anda untuk memverifikasi FIDO2 perangkat Anda. Kunci keamanan tidak akan berfungsi dengan mesin virtual, koneksi jarak jauh, atau mode penyamaran browser.
Aliansi FIDO menyimpan daftar semua FIDO2produk
Browser yang mendukung FIDO2
Ketersediaan perangkat FIDO2 keamanan yang berjalan di browser web tergantung pada kombinasi browser dan sistem operasi. Browser berikut saat ini mendukung penggunaan kunci keamanan:
| Browser web | macOS 10.15+ | Windows 10 | Linux | iOS 14.5+ | Android 7+ |
|---|---|---|---|---|---|
| Chrome | Ya | Ya | Ya | Ya | Tidak |
| Safari | Ya | Tidak | Tidak | Ya | Tidak |
| Edge | Ya | Ya | Tidak | Ya | Tidak |
| Firefox | Ya | Ya | Tidak | Ya | Tidak |
catatan
Sebagian besar versi Firefox yang saat ini mendukung FIDO2 tidak mengaktifkan dukungan secara default. Untuk petunjuk tentang mengaktifkan FIDO2 dukungan di Firefox, lihatMemecahkan Masalah Kunci Sandi dan Kunci Keamanan FIDO.
Firefox di macOS mungkin tidak sepenuhnya mendukung alur kerja otentikasi lintas perangkat untuk kunci sandi. Anda mungkin mendapatkan prompt untuk menyentuh kunci keamanan alih-alih melanjutkan dengan otentikasi lintas perangkat. Sebaiknya gunakan browser lain, seperti Chrome atau Safari, untuk masuk dengan kunci sandi di macOS.
Untuk informasi selengkapnya tentang dukungan browser untuk perangkat FIDO2 -Certified seperti YubiKey, lihat Sistem operasi dan dukungan browser web untuk FIDO2 dan U2F
Plugin peramban
AWS hanya mendukung browser yang mendukung FIDO2 secara native. AWS tidak mendukung penggunaan plugin untuk menambahkan dukungan FIDO2 browser. Beberapa plugin browser tidak kompatibel dengan FIDO2 standar dan dapat menyebabkan hasil yang tidak terduga dengan kunci FIDO2 keamanan.
Untuk informasi tentang menonaktifkan plugin peramban dan tips pemecahan masalah lainnya, lihat Saya tidak dapat mengaktifkan kunci keamanan FIDO saya.
Sertifikasi perangkat
Kami menangkap dan menetapkan sertifikasi terkait perangkat, seperti validasi FIPS dan tingkat sertifikasi FIDO, hanya selama pendaftaran kunci keamanan. Sertifikasi perangkat Anda diambil dari Layanan Metadata Aliansi FIDO
AWS menyediakan jenis sertifikasi berikut sebagai kunci kondisi selama pendaftaran perangkat, diperoleh dari FIDO MDS: FIPS-140-2, FIPS-140-3, dan tingkat sertifikasi FIDO. Anda memiliki kemampuan untuk menentukan pendaftaran autentikator tertentu dalam kebijakan IAM mereka, berdasarkan jenis dan tingkat sertifikasi pilihan Anda. Untuk informasi selengkapnya, lihat kebijakan di bawah ini.
Contoh kebijakan untuk sertifikasi perangkat
Kasus penggunaan berikut menunjukkan contoh kebijakan yang memungkinkan Anda mendaftarkan perangkat MFA dengan sertifikasi FIPS.
Topik
Kasus penggunaan 1: Izinkan mendaftarkan hanya perangkat yang memiliki sertifikasi FIPS-140-2 L2
Kasus penggunaan 2: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 dan FIDO L1
Kasus penggunaan 3: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 atau FIPS-140-3 L2
Kasus penggunaan 4: Izinkan mendaftarkan perangkat yang memiliki sertifikasi FIPS-140-2 L2 dan mendukung jenis MFA lainnya seperti otentikator virtual dan TOTP perangkat keras
AWS CLI dan AWS API
AWS mendukung penggunaan kunci sandi dan kunci keamanan hanya di. AWS Management Console Menggunakan kunci sandi dan kunci keamanan untuk MFA tidak didukung di AWS CLIAPI AWS dan
Sumber daya tambahan
-
Untuk informasi selengkapnya tentang penggunaan kunci sandi dan kunci keamanan AWS, lihatTetapkan kunci sandi atau kunci keamanan di AWS Management Console.
-
Untuk bantuan dalam memecahkan masalah kunci sandi dan kunci keamanan, lihat. AWSMemecahkan Masalah Kunci Sandi dan Kunci Keamanan FIDO
-
Untuk informasi industri umum tentang FIDO2 dukungan, lihat FIDO2 Proyek
.
