AWS niedawno ogłosiło dwie nowe funkcje bezpieczeństwa. Po pierwsze, klucze dostępu mogą być teraz używane do uwierzytelniania wieloskładnikowego (MFA) dla użytkowników root i IAM, zapewniając dodatkowe bezpieczeństwo wykraczające poza samą nazwę użytkownika i hasło. Po drugie, AWS wymaga teraz MFA dla użytkowników root, zaczynając od konta użytkownika root w organizacji AWS. Ten wymóg zostanie rozszerzony na inne konta w ciągu roku.
Sébastien Stormacq, Principal Developer Advocate w AWS, omówił te ogłoszenia związane z MFA we wpisie na blogu. Stormacq stwierdził, iż klucz dostępu, używany w uwierzytelnianiu FIDO2, to para kluczy kryptograficznych tworzonych na urządzeniu podczas rejestracji w usłudze lub witrynie. Składa się z dwóch powiązanych kluczy kryptograficznych: klucza publicznego przechowywanego przez dostawcę usługi i klucza prywatnego przechowywanego bezpiecznie na urządzeniu (jak klucz bezpieczeństwa) lub synchronizowanego między urządzeniami za pośrednictwem usług takich jak iCloud Keychain, konta Google lub menedżery haseł, takie jak 1Password.
W ramach innej części ogłoszenia dotyczącego bezpieczeństwa Stormacq wspomniał, iż AWS wymusza teraz uwierzytelnianie wieloskładnikowe (MFA) dla użytkowników root na niektórych kontach. Ta inicjatywa, pierwotnie ogłoszona w zeszłym roku przez dyrektora ds. bezpieczeństwa Amazon Stephena Schmidta, ma na celu zwiększenie bezpieczeństwa najbardziej wrażliwych kont.
AWS inicjuje to wdrażanie stopniowo, zaczynając od ograniczonej liczby kont zarządzania organizacjami AWS i z czasem rozszerzając je, aby objąć większość kont. Użytkownicy bez włączonej usługi MFA na swoim koncie root otrzymają monit o jej aktywację po zalogowaniu, z okresem karencji, zanim stanie się to obowiązkowe.
Aby włączyć MFA z kluczem dostępu, użytkownicy będą musieli uzyskać dostęp do sekcji IAM konsoli AWS. Po wybraniu żądanego użytkownika zlokalizuj sekcję MFA i kliknij „Przypisz urządzenie MFA”. Ważne jest, aby pamiętać, iż włączenie wielu urządzeń MFA dla użytkownika może poprawić opcje odzyskiwania konta.
Źródło: AWS dodaje uwierzytelnianie wieloskładnikowe dzięki hasła (MFA) dla użytkowników root i IAM
Następnie nazwij urządzenie i wybierz „Klucz dostępu lub klucz bezpieczeństwa”. jeżeli używany jest menedżer haseł obsługujący hasło, zaoferuje wygenerowanie i przechowywanie hasła. W przeciwnym razie przeglądarka udostępni opcje (w zależności od systemu operacyjnego i przeglądarki). Na przykład na komputerze z systemem macOS i przeglądarką opartą na Chromium wyświetlana jest prośba o użycie Touch ID do utworzenia i zapisania hasła w pęku kluczy iCloud. Od tego momentu wrażenia będą się różnić w zależności od wyborów dokonanych przez użytkownika.
Źródło: AWS dodaje wieloskładnikowe uwierzytelnianie (MFA) dzięki klucza dostępu dla użytkowników root i IAM
W dyskusji na Reddicie dotyczącej ogłoszenia jeden z użytkowników zauważył potencjalną rozbieżność: związaną z dokumentacją wydania, w której wspomniano o Identity Center zamiast IAM, ale nowo dodana obsługa Passkey nie wydawała się obejmować Identity Center. Dyskusja w wątku doszła do wniosku, iż wydanie przede wszystkim dodało obsługę FIDO2 Platform Authenticators (Passkeys) oprócz istniejącej obsługi Roaming Authenticators (kluczy bezpieczeństwa).
Klucze do uwierzytelniania wieloskładnikowego są w tej chwili dostępne dla użytkowników AWS we wszystkich regionach z wyjątkiem Chin. Ponadto egzekwowanie uwierzytelniania wieloskładnikowego dla użytkowników root obowiązuje we wszystkich regionach z wyjątkiem dwóch regionów Chin (Pekin i Ningxia) oraz AWS GovCloud (USA), ponieważ w tych regionach działają bez użytkowników root.
