亚马逊云科技为增强安全性增加了 Passkey 通行密钥支持，对根用户强制执行 MFA

亚马逊云科技宣布了两项新的安全特性。首先，通行密钥现在可用于对根用户和 IAM 用户进行多因素身份验证（MFA），提供除用户名和密码之外的额外安全性。其次，亚马逊云科技现在要求对根（root）用户实施 MFA，从亚马逊云科技组织中的根用户帐户开始执行。这一要求将在全年内扩大到其他账户。

亚马逊云科技的首席开发人员倡导者Sébastien Stormacq在一篇博客文章中讨论了这些与MFA相关的公告。Stormacq 表示，在 FIDO2 身份验证中使用的通行密钥（passkey）是你注册服务或网站时在设备上创建的一对加密密钥。它由两个相关联的加密密钥组成：一个是由服务提供商存储的公钥，另一个是安全地存储在你的设备上的私钥（如安全密钥），或通过iCloud Keychain、谷歌帐户或诸如1Password之类密码管理器等服务在你的设备之间的同步。

作为与安全性相关公告的另一部分，Stormacq 提到，亚马逊云科技现在正在对某些帐户上的根用户强制执行多因素身份验证（MFA）。这一举措最初是由亚马逊首席安全官Stephen Schmidt于去年宣布的，旨在增强最敏感账户的安全性。

亚马逊云科技已经逐步启动了这一计划，从数量有限的组织管理账户开始，并随着时间的推移扩展到涵盖大多数的账户。未在根帐户上启用 MFA 的用户在登录时将收到激活 MFA 的提示，但在强制执行 MFA 之前会有一段宽限期。

要启用通行密钥 MFA，用户需要访问AWS控制台的 IAM 部分。选择所需用户后，找到 MFA 部分并单击“分配 MFA 设备”。需要注意的是，为用户启用多个 MFA 设备可以改善帐户容灾恢复选项。

亚马逊云科技为 root 和 IAM 用户添加了通行密钥多因素身份验证（MFA）

命名设备并选择“通行密钥或安全密钥”（Passkey or security key）。如果使用支持通行密钥的密码管理器，它将提供生成和存储通行密钥的功能。否则，浏览器将提供选项（取决于操作系统和浏览器）。例如，在使用基于 Chromium 的浏览器的 macOS 机器上，会出现使用 Touch ID 在 iCloud Keychain 中创建和存储通行密钥的提示。从此时起，体验会根据用户的选择而有所不同。

亚马逊云科技为 root 和 IAM 用户添加了通行密钥多因素身份验证（MFA）

在Reddit上关于该公告的讨论中，其中一位用户指出了一个潜在的差异：与发布文档中提到了Identity Center而非IAM有关，但新添加的通行密钥支持似乎没有扩展到 Identity Center。对该主题的进一步讨论得出的结论是，除了现有的对漫游身份验证器（安全密钥）的支持外，该版本主要增加了对FIDO2平台身份验证程序（通行密钥）的支持。

目前，除中国外，其他所有地区的用户都可以使用用于多因素身份验证的通行密钥。此外，除中国的两个地区（北京和宁夏）和AWS GovCloud（美国）外（这些地区在没有在根用户下运行的情况），其他所有地区都对根（root）用户实施了多因素身份验证，因为这些地区在没有 root 用户的情况下运行。

原文链接：

https://www.infoq.com/news/2024/06/aws-mfa-passkey-support/