Jak włączyć uwierzytelnianie wieloskładnikowe na AWS

Jak włączyć uwierzytelnianie wieloskładnikowe na AWS
Uwierzytelnianie wieloskładnikowe (MFA), jak sugeruje jego nazwa, wymaga więcej niż jednego jednostki uwierzytelnienia użytkownika na jego konto. Jest to głównie kolejny poziom bezpieczeństwa po prostej ochronie haseł. Zwykle jest to token zabezpieczający lub kod generowany na osobnym urządzeniu do uwierzytelnienia i upewnienia się, że konto jest rejestrowane przez samą osobę, do której należy, lub ktoś inny próbuje naruszyć konto bez twojej zgody. Załóżmy, że ktoś ma nielegalnie hasło twojego konta; Jeśli spróbuje zalogować się na twoje konto za pomocą uwierzytelniania wieloskładnikowego, nie będzie mógł dotrzeć do twojego konta, ponieważ nie ma tokena bezpieczeństwa lub urządzeń potrzebnych do zalogowania się konta.

Aby chronić konto AWS, AWS zapewnia również różne sposoby włączenia uwierzytelniania wieloskładnikowego. Ten blog omówi, w jaki sposób uwierzytelnianie wieloskładnikowe można włączyć na koncie AWS w celu zwiększenia bezpieczeństwa.

Urządzenia MFA dla AWS

Istnieje kilka sposobów na MFA, które można zastosować w celu uzyskania lepszej ochrony konta. AWS obsługuje główne dwa rodzaje uwierzytelniania wieloczynnikowego, które są następujące

  • Wirtualne urządzenia MFA
  • Klucz bezpieczeństwa U2F
  • Urządzenia MFA sprzętowe

Wirtualne urządzenia MFA:

Możesz użyć swojego smartfona jako wirtualnego urządzenia MFA dla konta AWS. W tym celu wystarczy zainstalować aplikację (Google Authenticator lub Authy) na smartfonie. Za każdym razem, gdy próbujesz się zalogować na swoje konto, zostaniesz poproszony o podanie sześciocyfrowego kodu generowanego w aplikacji mobilnej. Kod jest wyjątkowy i tylko dla jednorazowego użytku, co oznacza, że ​​nowy kod będzie generowany za każdym razem, gdy logujesz się na konto. Każde wirtualne urządzenie MFA działa tylko dla konta, na które jest uwierzytelnione.

Istnieje wiele aplikacji do uwierzytelniania MFA na AWS; Możesz użyć dowolnego z nich zgodnie z kompatybilnością urządzenia.

Możesz użyć dowolnego z nich zgodnie z kompatybilnością urządzenia.

Włączanie wirtualnego urządzenia MFA na AWS

Aby korzystać z MFA na swoim koncie, po prostu zaloguj się do konsoli zarządzania za pomocą poświadczeń AWS. Z konsoli zarządzania kliknij ikonę menu w prawym górnym rogu sąsiadującym z identyfikatorem konta.

Z rozwijanego menu kliknij Poświadczenia bezpieczeństwa opcja.

w AWS IAM IAM Credentials zakładka, przewiń w dół do Uwierzytelnianie wieloskładnikowe (MFA) sekcja i kliknij Zarządzaj urządzeniem MFA przycisk.

Z wyświetlonego okna dialogowego musisz wybrać typ urządzenia dla MFA. Do tego demo użyjemy Wirtualne urządzenie MFA W celu włączenia uwierzytelniania wieloskładnikowego.

W tym momencie musisz mieć lub zainstalować aplikację MFA na urządzeniu, które chcesz dołączyć jako urządzenie MFA. Do tego demo użyjemy Authy Jako wirtualne urządzenie MFA. Przejdź do następującego linku, aby zainstalować autoryzację ze sklepu Google Play na urządzeniu z Androidem.

https: // graj.Google.com/sklep/aplikacje/szczegóły?id = com.Authy.Authy & hl = en & gl = nas

Jeśli używasz aplikacji MFA po raz pierwszy, musisz skonfigurować konto.

Teraz musisz dołączyć użytkowników AWS z urządzeniem, dla którego musisz zeskanować kod QR dostarczony przez AWS, albo możesz wpisać klucz ręcznie.

Po zeskanowaniu kodu QR lub wprowadzeniu klucza bezpieczeństwa aplikacja dostarczy dwa kody MFA w celu uwierzytelnienia urządzenia.

Następnym razem, gdy spróbujesz zalogować się do użytkownika, AWS poprosi o wprowadzenie kodu MFA z urządzenia.

Teraz, jeśli planujesz usunąć urządzenie MFA z konta, po prostu przejdź do zakładki MFA i wybierz Usuń, więc następnym razem nie będzie wymagać urządzenia do logowania.

Więc teraz pomyślnie skonfigurowałeś MSZ na swoim koncie AWS.

Włączanie wirtualnego urządzenia MFA za pomocą CLI

Możesz także włączyć urządzenie MFA za pomocą interfejsu wiersza poleceń i zdecydowanie musisz nauczyć się używać CLI do MFA, ponieważ istnieją pewne przypadki, takie jak MFA Delete na S3, gdzie nie można korzystać z konsoli zarządzania i wymagać CLI.

Aby włączyć MFA za pomocą CLI, musisz podać identyfikator konta użytkownika AWS, na którym chcesz włączyć MFA, numer seryjny urządzenia sprzętowego lub ARN wirtualnego urządzenia MFA oraz dwa kody MFA z urządzenia. Polecenia, których potrzebujesz, są następujące.

$: AWS IAM Enable-MFA-device \
--nazwa użytkownika \
--numer seryjny \
--kod uwierzytelniający1 \
--kod uwierzytelniający2

W ten sposób możesz łatwo włączyć MFA za pomocą CLI na koncie użytkownika.

Klucz bezpieczeństwa U2F

Klucz bezpieczeństwa Universal 2. czynnik (U2F) to urządzenie sprzętowe autorstwa Yubico, które musisz kupić na rynku. To jest po prostu urządzenie USB, które musisz podłączyć do swojego systemu.

Aby skonfigurować urządzenie U2F na koncie AWS, przejdź do Zarządzaj urządzeniem MFA Zakładka i wybierz klawisz bezpieczeństwa U2F, jednocześnie włączając uwierzytelnianie wieloskładnikowe.

Teraz dołącz klawisz bezpieczeństwa do systemu i naciśnij przycisk na urządzeniu, a możesz iść.

Więc pomyślnie skonfigurowałeś MSZ na swoim koncie za pomocą klucza bezpieczeństwa U2F.

Urządzenia MFA sprzętowe

Inne typy urządzeń MFA sprzętowych mogą generować unikalne 6-cyfrowe kody na podstawie jednorazowego algorytmu hasła. Urządzenia te mogą działać nawet bez połączenia internetowego lub smartfona; wystarczy wprowadzić kod pokazany na małym LCD na urządzeniu.AWS obsługuje urządzenia MFA sprzętowe w celu zapewnienia dodatkowego bezpieczeństwa i prywatności dla swoich użytkowników. Musisz sam kupić te urządzenia.

Aby włączyć go na koncie AWS, po prostu otwórz kartę Zarządzaj MFA i wybierz inne urządzenia MFA sprzętowe.

Teraz wszystko, czego potrzebujesz, to wprowadzić numer seryjny zakupionego urządzenia, a następnie nacisnąć przycisk na urządzeniu, aby ujawnić dla Ciebie nowy kod MFA. Zostaniesz poproszony o dwukrotnie wprowadzenie kodu MFA z urządzenia, a proces jest zakończony.

Następnie kliknij Przypisz MFA w prawym dolnym rogu, a na koncie będzie miał aktywowany MFA.

Wniosek:

Uwierzytelnianie wieloskładnikowe (MFA) stało się obecnie bardzo powszechne, aby zapewnić bezpieczeństwo konta przed nieautoryzowanym dostępem, jeśli twoje poświadczenia logowania zostaną wyciek z powodu naruszenia systemu lub ataku hakerów. MFA zapewnia dodatkową warstwę bezpieczeństwa i istnieje wiele sposobów użycia tego do zabezpieczenia konta. Możesz użyć wirtualnego urządzenia MFA, takiego jak smartfon lub kupić sobie sprzętowe urządzenie MFA. Możesz także skonfigurować jedno urządzenie MFA dla wielu kont, ale musisz zachować bezpieczeństwo urządzeń, ponieważ możesz wpaść w kłopoty, jeśli stracisz urządzenia MFA. Ten blog opisuje szczegółową procedurę umożliwiającą uwierzytelnianie wieloskładnikowe na koncie AWS.