使用 FIDO 安全密钥的受支持配置 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 FIDO 安全密钥的受支持配置

您可以通过使用当前支持的配置,将 FIDO2 安全密钥配置为 IAM 的多重身份验证(MFA)方法。这包括 IAM 支持的 FIDO2 设备及支持 FIDO2 的浏览器。在注册 FIDO2 设备之前,请确认您使用的是最新版本的浏览器和操作系统(OS)。相关功能在不同的浏览器、身份验证器和操作系统客户端上可能有不同的行为。如果您的设备在一种浏览器上注册失败,则可以尝试使用其他浏览器注册。

Amazon 支持的 FIDO2 设备

IAM 支持 FIDO2 安全设备,这些设备可通过 USB、蓝牙或 NFC 连接到您的设备。我们不支持平台身份验证器,如 TouchID、FaceID 或 Windows Hello。

注意

Amazon 需要访问您的计算机上的物理 USB 端口以验证您的 FIDO2 设备。FIDO2 安全密钥不支持虚拟机、远程连接或浏览器的无痕模式。

FIDO 联盟维护一份与 FIDO 规范兼容的所有 FIDO2 产品的列表。

支持 FIDO2 的浏览器

FIDO2 安全设备能否在 Web 浏览器中运行,取决于具体的浏览器和操作系统组合。以下浏览器当前支持使用 FIDO2 安全密钥:

macOS 10.15+ Windows 10 Linux iOS 14.5+ Android 7+
Chrome
Safari
边缘
Firefox
注意

当前支持 FIDO2 的大多数 Firefox 版本默认情况下不会启用支持。有关在 Firefox 中启用 FIDO2 支持的说明,请参阅 FIDO 安全密钥故障排除

要详细了解支持 FIDO2 认证设备(如 YubiKey)的浏览器,请参阅 Operating system and web browser support for FIDO2 and U2F

浏览器插件

Amazon 仅支持原生支持 FIDO2 的浏览器。Amazon 不支持使用插件来添加 FIDO2 浏览器支持。某些浏览器插件与 FIDO2 标准不兼容,这可能会导致 FIDO2 安全密钥产生意外结果。

有关禁用浏览器插件和其他问题排查提示的信息,请参阅我无法启用我的 FIDO 安全密钥

设备认证

我们仅在注册 FIDO 安全密钥期间获取和分配与设备相关的认证,例如 FIPS 验证和 FIDO 认证级别。从 FIDO Alliance Metadata Service(MDS)获取设备认证。如果您的 FIDO 安全密钥的认证状态或级别发生变化,则不会自动反映在设备标签中。要更新设备的认证信息,请再次注册设备,以获取更新的认证信息。

Amazon 在设备注册期间提供以下认证类型作为条件密钥,从 FIDO MDS 获得:FIPS-140-2、FIPS-140-3 和 FIDO 认证级别。您可以根据首选认证类型和级别,在其 IAM policy 中指定特定身份验证器的注册。有关更多信息,请参阅下面的策略。

设备认证策略示例

以下用例显示允许您为 MFA 设备注册 FIPS 认证的示例策略。

用例 1:只允许注册通过 FIPS-140-2 L2 认证的设备

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }

用例 2:允许注册通过 FIPS-140-2 L2 和 FIDO L1 认证的设备

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }

用例 3:允许注册通过 FIPS-140-2 L2 或 FIPS-140-3 L2 认证的设备

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }

使用案例 4:允许已通过 FIPS-140-2 L2 认证并支持其他 MFA 类型(例如虚拟身份验证器和硬件 TOTP)的设备注册

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }

Amazon CLI 和 Amazon API

Amazon 支持仅在 Amazon Web Services Management Console 中使用 FIDO2 安全密钥。在 Amazon CLIAmazon API 中不支持为 MFA 使用 FIDO2 安全密钥,也不支持使用该安全密钥访问 MFA 保护的 API 操作

其他 资源