[AWS] IAM MFA

IAM – Password Policy

Chính sách mật khẩu IAM – Password Policy trong AWS là một cách để cấu hình mật khẩu mạnh giúp bảo vệ tài khoản của bạn. Bạn có thể thiết lập một chính sách mật khẩu bằng cách thiết lập độ dài mật khẩu tối thiểu và yêu cầu các ký tự cụ thể như chữ hoa, chữ thường, số, các ký tự đặc biệt. Ngoài ra, bạn cũng có thể cho phép tất cả người dùng IAM thay đổi mật khẩu của họ và yêu cầu họ thay đổi mật khẩu sau một khoảng thời gian nhất định (hết hạn mật khẩu) và ngăn không cho người dùng tái sử dụng mật khẩu cũ. Tất cả những điều này giúp tăng cường bảo mật cho tài khoản AWS của bạn.

Multi Factor Authentication MFA

Đoạn văn bản nói về việc sử dụng đa yếu tố xác thực (MFA) để bảo vệ tài khoản trên AWS. Với MFA, người dùng sẽ cần phải cung cấp thông tin đăng nhập, bao gồm mật khẩu và thiết bị bảo mật mà họ sở hữu để xác thực danh tính trước khi truy cập tài khoản AWS.

Một lợi ích chính của MFA đó là nếu mật khẩu bị đánh cắp hoặc bị hack, tài khoản sẽ không bị đe dọa và vẫn được bảo vệ bởi yếu tố xác thực bổ sung của thiết bị bảo mật. Việc sử dụng MFA cũng đặc biệt quan trọng đối với tài khoản root và người dùng IAM để giảm thiểu rủi ro xâm nhập và mất an toàn của tài khoản AWS.

MFA devices options in AWS

+ Virtual MFA device

Virtual MFA device (VMD) là một loại MFA được cung cấp bởi AWS, giúp bảo mật cho tài khoản AWS của bạn. Thay vì phải sử dụng thiết bị vật lý để tạo mã xác thực, bạn có thể sử dụng ứng dụng trên điện thoại thông minh để tạo các mã xác thực.

Khi bật tính năng MFA trên tài khoản AWS, bạn có thể chọn sử dụng VMD hoặc thiết bị MFA vật lý. Tuy nhiên, việc sử dụng VMD có những ưu điểm như không cần phải mua thêm thiết bị vật lý, dễ dàng sử dụng và di động hơn.

Để sử dụng VMD, bạn cần tải và cài đặt ứng dụng xác thực từ cửa hàng ứng dụng trên điện thoại thông minh của bạn. Sau đó, bạn cần kích hoạt VMD trên tài khoản AWS và liên kết nó với ứng dụng xác thực trên điện thoại thông minh của bạn. Từ đó, bạn có thể sử dụng ứng dụng để tạo mã xác thực và đăng nhập vào tài khoản AWS của mình.

Nó hỗ trợ nhiều mã thông báo trên một thiết bị duy nhất trong việc sử dụng MFA. Cụ thể, nếu một người dùng cần xác minh đăng nhập cho nhiều tài khoản khác nhau, thì họ có thể sử dụng cùng một thiết bị ảo MFA để nhận các mã thông báo xác thực khác nhau. Ví dụ, người dùng có thể sử dụng cùng một ứng dụng trên điện thoại thông minh của họ để nhận các mã thông báo xác thực cho nhiều tài khoản AWS khác nhau, thay vì phải sử dụng nhiều thiết bị vật lý khác nhau để nhận các mã thông báo xác thực cho từng tài khoản. Tính năng này giúp tiết kiệm chi phí và quản lý dễ dàng hơn cho việc sử dụng MFA trên AWS.

+ Universal 2nd Factor (U2F) Security Key

Universal 2nd Factor (U2F) Security Key là một phương tiện bảo mật có thể sử dụng để xác thực hai yếu tố, tương tự như MFA. Tuy nhiên, thay vì cần phải nhập mã số được tạo ra bởi MFA token hoặc ứng dụng trên điện thoại, U2F Security Key sử dụng một thiết bị vật lý có kết nối USB hoặc NFC để xác thực người dùng.

Với U2F Security Key, người dùng có thể sử dụng một thiết bị bảo mật để xác thực cho nhiều tài khoản root và IAM khác nhau trong AWS. Điều này giúp tiết kiệm thời gian và công sức, đồng thời tăng cường bảo mật và giảm thiểu việc quản lý nhiều phương tiện bảo mật khác nhau.

+ Hardware Key Fob MFA Device và Hardware Key Fob MFA Device for AWS GovCloud (US)

Hardware Key Fob MFA Device và Hardware Key Fob MFA Device for AWS GovCloud (US) đều là những thiết bị MFA dạng cứng. Chúng được cung cấp bởi AWS và có tính năng bảo mật cao hơn so với việc sử dụng mã xác thực động trên điện thoại hoặc máy tính bảng.

Cả hai thiết bị đều yêu cầu người dùng nhập mã PIN trước khi được sử dụng để tăng cường tính bảo mật. Tuy nhiên, Hardware Key Fob MFA Device for AWS GovCloud (US) được thiết kế đặc biệt để phù hợp với các quy định và tiêu chuẩn bảo mật của chính phủ Hoa Kỳ, nó chỉ có thể được sử dụng để truy cập vào các dịch vụ AWS GovCloud (US) và không thể sử dụng cho các tài khoản AWS thông thường.