AWS niedawno ogłosiło dwie nowe funkcje bezpieczeństwa. Po pierwsze, klucze dostępu mogą być teraz używane do uwierzytelniania wieloskładnikowego (MFA) dla użytkowników root i IAM, zapewniając dodatkowe bezpieczeństwo wykraczające poza samą nazwę użytkownika i hasło. Po drugie, AWS wymaga teraz MFA dla użytkowników root, zaczynając od konta użytkownika root w organizacji AWS. Ten wymóg zostanie rozszerzony na inne konta w ciągu roku.

Sébastien Stormacq, Principal Developer Advocate w AWS, omówił te ogłoszenia związane z MFA we wpisie na blogu. Stormacq stwierdził, że klucz dostępu, używany w uwierzytelnianiu FIDO2, to para kluczy kryptograficznych tworzonych na urządzeniu podczas rejestracji w usłudze lub witrynie. Składa się z dwóch powiązanych kluczy kryptograficznych: klucza publicznego przechowywanego przez dostawcę usługi i klucza prywatnego przechowywanego bezpiecznie na urządzeniu (jak klucz bezpieczeństwa) lub synchronizowanego między urządzeniami za pośrednictwem usług takich jak iCloud Keychain, konta Google lub menedżery haseł, takie jak 1Password.

W ramach innej części ogłoszenia dotyczącego bezpieczeństwa Stormacq wspomniał, że AWS wymusza teraz uwierzytelnianie wieloskładnikowe (MFA) dla użytkowników root na niektórych kontach. Ta inicjatywa, pierwotnie ogłoszona w zeszłym roku przez dyrektora ds. bezpieczeństwa Amazon Stephena Schmidta, ma na celu zwiększenie bezpieczeństwa najbardziej wrażliwych kont.

AWS inicjuje to wdrażanie stopniowo, zaczynając od ograniczonej liczby kont zarządzania organizacjami AWS i z czasem rozszerzając je, aby objąć większość kont. Użytkownicy bez włączonej usługi MFA na swoim koncie root otrzymają monit o jej aktywację po zalogowaniu, z okresem karencji, zanim stanie się to obowiązkowe.

Aby włączyć MFA z kluczem dostępu, użytkownicy będą musieli uzyskać dostęp do sekcji IAM konsoli AWS. Po wybraniu żądanego użytkownika zlokalizuj sekcję MFA i kliknij „Przypisz urządzenie MFA”. Ważne jest, aby pamiętać, że włączenie wielu urządzeń MFA dla użytkownika może poprawić opcje odzyskiwania konta.

Źródło: AWS dodaje uwierzytelnianie wieloskładnikowe za pomocą hasła (MFA) dla użytkowników root i IAM

Następnie nazwij urządzenie i wybierz „Klucz dostępu lub klucz bezpieczeństwa”. Jeśli używany jest menedżer haseł obsługujący hasło, zaoferuje wygenerowanie i przechowywanie hasła. W przeciwnym razie przeglądarka udostępni opcje (w zależności od systemu operacyjnego i przeglądarki). Na przykład na komputerze z systemem macOS i przeglądarką opartą na Chromium wyświetlana jest prośba o użycie Touch ID do utworzenia i zapisania hasła w pęku kluczy iCloud. Od tego momentu wrażenia będą się różnić w zależności od wyborów dokonanych przez użytkownika.

Źródło: AWS dodaje wieloskładnikowe uwierzytelnianie (MFA) za pomocą klucza dostępu dla użytkowników root i IAM

W dyskusji na Reddicie dotyczącej ogłoszenia jeden z użytkowników zauważył potencjalną rozbieżność: związaną z dokumentacją wydania, w której wspomniano o Identity Center zamiast IAM, ale nowo dodana obsługa Passkey nie wydawała się obejmować Identity Center. Dyskusja w wątku doszła do wniosku, że wydanie przede wszystkim dodało obsługę FIDO2 Platform Authenticators (Passkeys) oprócz istniejącej obsługi Roaming Authenticators (kluczy bezpieczeństwa).

Klucze do uwierzytelniania wieloskładnikowego są obecnie dostępne dla użytkowników AWS we wszystkich regionach z wyjątkiem Chin. Ponadto egzekwowanie uwierzytelniania wieloskładnikowego dla użytkowników root obowiązuje we wszystkich regionach z wyjątkiem dwóch regionów Chin (Pekin i Ningxia) oraz AWS GovCloud (USA), ponieważ w tych regionach działają bez użytkowników root.