安全是亚马逊云科技的首要任务,6月,亚马逊云科技推出了两项功能来帮助您加强亚马逊云科技账户的安全性:
首先,亚马逊云科技将密钥添加到根用户和 Amazon Identity and Access Management(IAM)用户的受支持多重身份验证(MFA)列表。
其次,亚马逊云科技开始对您的根用户强制执行 MFA,首先是极为敏感的用户:您在亚马逊云科技组织中的管理账户的根用户。在今年余下的时间里,我们将继续对您的其他账户实施这项变更。
MFA 是增强账户安全性的最简单且最有效的方法之一,它提供了额外的保护层,有助于防止未经授权的个人访问系统或数据。
Amazon Identity and Access Management(IAM)
扫码了解更多
多重身份验证(MFA)
扫码了解更多
管理账户
扫码了解更多
左右滑动查看更多
为根用户和 IAM 用户提供密钥的 MFA
密钥是一个通用术语,用于为 FIDO2 身份验证创建的凭证。
密钥是注册服务或网站时在客户端设备上生成的一对加密密钥。密钥对绑定到 Web 服务域,且对于每个域都是唯一的。
密钥的公开部分被发送到该服务并存储在服务端。密钥的私有部分要么存储在安全设备(例如安全密钥)中,要么在使用云服务(例如 iCloud Keychain、Google 帐户或诸如 1Password 的密码管理器)时,在与用户帐户连接的设备上安全共享。
通常,对密钥私有部分的访问受 PIN 码或生物识别身份验证的保护,具体取决于您的设备。
当我尝试在受密钥保护的服务上进行身份验证时,该服务会向我的浏览器发送一条质询。然后,浏览器会请求我的设备使用我的私有密钥对质询进行签名。这会触发 PIN 或生物识别身份验证以访问存储私有密钥的安全存储。浏览器将签名返回给该服务。当签名有效时,它会确认我拥有与服务上存储的公共密钥相匹配的私有密钥,并且身份验证成功。
FIDO2
扫码了解更多
安全密钥
扫码了解更多
iCloud Keychain
扫码了解更多
Google 帐户
扫码了解更多
1Password
扫码了解更多
面容ID
扫码了解更多
触控ID
扫码了解更多
Microsoft Hello
扫码了解更多
左右滑动查看更多
当亚马逊云科技于 2020 年 11 月在 Amazon IAM Identity Center 中推出密钥支持时,我写了这篇博客文章,您可以阅读该文章以详细了解这个流程和正在使用的各种标准(FIDO2、CTAP、WebAuthn)。
密钥可以用于替换密码。但是,对于此初始版本,除了您的密码外,我们还选择使用密钥作为第二要素身份验证。密码是您知道的东西,而密钥是您所拥有的东西。
与密码相比,密钥更能抵御网络钓鱼攻击。首先,要获得受指纹、面容或 PIN 码保护的私有密钥会非常困难。其次,密钥绑定到特定的 Web 域,从而缩小了意外泄露的范围。
作为最终用户,您将受益于其使用便捷和易于恢复的特点。您可以使用手机和笔记本电脑中的内置身份验证器,为亚马逊云科技登录体验解锁加密保护的凭证。当使用云服务来存储密钥时(例如 iCloud 密钥链、谷歌帐户或 1Password),可以从与密钥提供商账户连接的任何设备上访问该密钥。这可以帮助您在不幸丢失设备的情况下找回密钥。
博客文章
扫码了解更多
CATP
扫码了解更多
WebAuthn
扫码了解更多
左右滑动查看更多
如何为 IAM 用户启用密钥 MFA
要启用密钥 MFA,导航到控制台的 IAM 部分。选择一个用户,然后向下滚动页面到 MFA 部分。然后,选择分配 MFA 设备。
请注意,为了帮助您提高还原能力和账户恢复能力,您可以为用户启用多台 MFA 设备。
启用多台MFA设备
扫码了解更多
在下一页上,输入 MFA 设备名称,然后选择密钥或安全密钥。然后,选择下一步。
使用支持密钥的密码管理器应用程序时,它会弹出一个窗口并询问您是否要使用该应用程序生成和存储密钥。否则,您的浏览器将为您提供几个选项。屏幕的确切布局取决于操作系统(macOS 或 Windows)以及您使用的浏览器。这是我在 macOS 上使用基于 Chromium 的浏览器时看到的屏幕。
其余的体验取决于您的选择。iCloud 密钥链会提示您输入触控 ID 以生成和存储密钥。
在本演示中,我希望向您展示如何在另一台设备(例如手机)上启动密钥。因此,我另行选择使用手机、平板电脑或安全密钥。浏览器显示一个二维码。然后,我用手机扫描二维码。手机通过面容 ID 对我进行身份验证,并生成和存储密钥。
这种基于二维码的流程允许使用某一台设备的密钥来登录另一台设备(在我的演示中是手机和我的笔记本电脑)。它由 FIDO 规范定义,称为跨设备身份验证(CDA)。
如果一切进展顺利,密钥现在已注册到 IAM 用户。
跨设备身份验证(CDA)
扫码了解更多
请注意,我们不建议使用 IAM 用户向亚马逊云科技管理控制台验证人类身份。我们建议改为使用 Amazon IAM Identity Center 配置单点登录(SSO)
Amaozn IAM Identity Center
扫码了解更多
登录体验如何?
启用并使用密钥配置 MFA 后,我将尝试登录我的账户。
用户体验会因您使用的操作系统、浏览器和设备而异。
例如,在启用了 iCloud 密钥链的 macOS 上,系统会提示我触摸触控 ID 键。在这个演示中,我使用 CDA 在手机上注册了密钥。因此,系统要求我用手机扫描二维码。扫描完成后,手机通过面容 ID 对我进行身份验证以解锁密钥,然后亚马逊云科技管理控制台将终止登录过程。
对根用户强制执行 MFA
对于第二点,亚马逊云科技已经开始对某些亚马逊云科技账户的根用户强制使用 MFA。去年,亚马逊首席安全官 Stephen Schmidt 在一篇博客文章中宣布了这一变化。
引用 Stephen 的话:
验证亚马逊云科技中特权等级最高的用户是否受到 MFA 的保护,只是我们持续增强亚马逊云科技客户安全性的承诺中的最新举措。
我们从敏感的账户开始:您的 Amaozn Organizations 管理账户。该策略的部署是渐进式的,一次只部署几千个账户。在接下来的几个月中,我们将对大多数亚马逊云科技账户的根用户逐步部署 MFA 执行策略。
如果您的根用户账户未启用 MFA 且您的账户已更新,那么登录时会弹出一条新消息,要求您启用 MFA。将有一个宽限期,在此之后,MFA 将成为强制性条件。
博客文章
扫码了解更多
Amazon Organizations
扫码了解更多
左右滑动查看更多
Amazon GovCloud
扫码了解更多
激活密钥 MFA
扫码了解更多
左右滑动查看更多
本篇作者
Sébastien Stormacq
亚马逊云科技首席开发者步道师,自八十年代中期第一次接触 Commodore 64 以来,Seb 一直从事代码编写工作。他对软件架构、开发人员工具和移动计算领域充满热情,致力于激励构建者更好使用和发挥亚马逊云科技的价值。
星标不迷路,开发更极速!
关注后记得星标「亚马逊云开发者」
听说,点完下面4个按钮
就不会碰到bug了!
点击阅读原文查看博客,获得更详细内容
9201
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
