Der Schutz der kritischen Ressourcen Ihres AWS-Kontos durch Einrichtung einer Zwei-Faktor-Authentifizierung (MFA) sollte unabhängig davon, ob Ihr Konto gefährdet ist oder nicht, oberste Priorität haben. Wie? AWS MFA ist eine leistungsstarke Sicherheitsfunktion, die die Sicherheit Ihres AWS-Kontos erheblich verbessert.
In diesem Tutorial erfahren Sie, wie Sie MFA für Ihr AWS-Konto einrichten und sicherstellen können, dass nur autorisierte Benutzer auf Ihre AWS-Infrastruktur und Ressourcen zugreifen können.
Bereit? Lesen Sie weiter und halten Sie bösartige Akteure von Ihren AWS-Ressourcen fern!
Voraussetzungen
In diesem Tutorial werden praktische Demonstrationen durchgeführt. Stellen Sie sicher, dass Sie Folgendes haben, um mitzumachen:
- Ein aktives AWS-Konto mit aktivierter Abrechnung – Melden Sie sich für ein kostenloses Konto an, wenn Sie noch keines haben.
- A mobile device (with an internet connection) to use for an authentication app to set up AWS MFA – This tutorial uses an Android device (Xiaomi 9C) as an example. Still, the process is similar for iOS devices.
Erstellen eines IAM-Benutzers mit Passwortzugriff
Vor der Einrichtung von AWS MFA ist die Erstellung eines IAM-Benutzers mit Passwortzugriff entscheidend. Dadurch stellen Sie sicher, dass Sie eine sichere und separate Identität haben, um auf Ihre AWS-Ressourcen zugreifen zu können. Sie werden diesen bestimmten IAM-Benutzer später für AWS MFA verwenden.
Ein IAM-Benutzer ist eine Identität innerhalb Ihres AWS-Kontos, die Sie erstellen und verwalten, um einen sicheren Zugriff auf Ihre AWS-Ressourcen zu ermöglichen. Jeder IAM-Benutzer hat eindeutige Anmeldeinformationen (Benutzername und Passwort), um sich bei der AWS Management Console anzumelden und auf AWS-Ressourcen zuzugreifen.
Um einen IAM-Benutzer mit Passwortzugriff zu erstellen:
1. Öffnen Sie Ihren bevorzugten Webbrowser, melden Sie sich als Root-Benutzer im AWS Management Console an und navigieren Sie zur IAM-Konsole.
2. Auf der IAM-Konsole navigieren Sie zu Benutzer (linke Seite), und klicken Sie auf Benutzer hinzufügen, um einen neuen Benutzer hinzuzufügen.
3. Konfigurieren Sie die IAM-Benutzerdetails wie folgt:
- Benutzername: Geben Sie einen eindeutigen Benutzernamen für diesen neuen Benutzer an (aws_mfa_demo)
- Aktivieren Sie das Kontrollkästchen Benutzerzugriff auf die AWS Management Console bereitstellen, um dem Benutzer das Anmelden bei der AWS Management Console zu ermöglichen.
- Wählen Sie Ich möchte einen IAM-Benutzer erstellen, um einen neuen IAM-Benutzer zu erstellen.
- Wählen Sie Automatisch generiertes Passwort, um AWS ein starkes Passwort für den Benutzer generieren zu lassen.
Nach der Konfiguration klicken Sie auf Weiter, um fortzufahren.
4. Wählen Sie nun die Option Berechtigungen anhängen, wählen Sie die Richtlinie AdministratorAccess aus der Liste aus und klicken Sie auf Weiter, um dem Benutzer Vollzugriff auf AWS-Ressourcen zu gewähren.
5. Überprüfen Sie die Benutzerdetails und klicken Sie auf Benutzer erstellen, um die Erstellung des IAM-Benutzers abzuschließen.
6. Schließlich öffnen Sie einen neuen Browser-Tab, navigieren zur Console-Anmeldungs-URL und melden sich mit den IAM-Benutzeranmeldeinformationen an, die angezeigt werden.
Aus Sicherheitsgründen wird dringend empfohlen, sich bei Ihrem AWS IAM-Konto über einen privaten Browser (z.B. Google Chrome’s Incognito) anzumelden, insbesondere beim Einrichten von AWS MFA.
Einrichten von AWS MFA zum Schutz von AWS-Ressourcen
Mit einem dedizierten IAM-Benutzer, den Sie erstellt haben, sind Sie bereit, Ihre AWS MFA einzurichten. Bevor Sie jedoch beginnen, müssen Sie eine Authentifizierungs-App auf Ihrem Mobilgerät installieren, die einen eindeutigen sechsstelligen Code generiert. Zusammen mit Ihrem Passwort ist der sechsstellige Code erforderlich, um den MFA-Prozess beim Anmelden bei AWS abzuschließen.
AWS unterstützt viele Authentifizierungs-Apps, aber die Wahl dieses Tutorials ist der Google Authenticator, der kostenlos ist und mit Android- und iOS-Geräten kompatibel ist.
Um mit der Einrichtung von AWS MFA zum Schutz Ihrer Ressourcen zu beginnen:
1. Öffnen Sie den Google Play Store auf Ihrem Android-Gerät, suchen Sie nach Google Authenticator und installieren Sie ihn, wie unten gezeigt.
Vielleicht ist Ihr Verbrauch hoch, und Sie möchten mehrere Geräte (Smartphone, Tablet oder Desktop-Computer) verwenden, um auf Ihr AWS-Konto mit aktivierter MFA zuzugreifen. In diesem Fall können Sie Authy verwenden, um Ihre Anmeldeversuche auf einem Ihrer Geräte zu authentifizieren.
2. Sobald installiert, kehren Sie zum Browser-Tab zurück, in dem Sie sich als IAM-Benutzer angemeldet haben, navigieren Sie zur IAM-Konsole und wählen Sie den neu erstellten Benutzer (aws_mfa_demo) aus.
3. Unter Sicherheitsempfehlungen klicken Sie neben der Option Für sich selbst MFA hinzufügen auf MFA hinzufügen, um das Zuweisen einer MFA zu initiieren.
4. Klicken Sie nun auf MFA zuweisen, um fortzufahren.
5. Auf der nächsten Seite konfigurieren Sie die Einstellungen wie folgt:
- Gerätename – Geben Sie einen beschreibenden Namen für Ihr Gerät an, der Ihnen hilft, zwischen verschiedenen MFA-Geräten, die mit Ihrem AWS-Konto verbunden sind, zu unterscheiden.
- MFA-Gerät auswählen – Wählen Sie ein MFA-Gerät aus den verfügbaren Optionen aus, abhängig von Ihren spezifischen Anforderungen und Vorlieben.
Die Wahl dieses Tutorials ist die Authenticator-App. Softwarebasierte Authenticators sind im Allgemeinen die beliebteste Wahl aufgrund ihrer Benutzerfreundlichkeit und ihrer Verfügbarkeit auf mobilen Geräten. In Umgebungen mit hoher Sicherheit, in denen zusätzliche physische Sicherheitsmaßnahmen erforderlich sind, können jedoch hardwarebasierte Optionen bevorzugt werden.
| MFA Device | Details |
|---|---|
| Authenticator app | Involves a software-based authenticator app, such as Google Authenticator or Authy, to generate the MFA codes. |
| Security Key | Involves a hardware-based security key, such as a YubiKey or a Nitrokey, to generate the MFA codes. With this option, you must purchase the hardware Security Key from a third-party website or vendor — more expensive than a software-based authenticator app. |
| Hardware TOTP token | Involves a hardware token (an RSA SecurID or a Gemalto token) to generate the MFA codes. These tokens are specifically intended for users with AWS GovCloud (US) accounts accessing IAM. |
Nach der Konfiguration klicken Sie auf Weiter, um die Registrierung Ihres MFA-Geräts zu initiieren.
AWS ermöglicht es Ihnen, bis zu acht MFA-Geräte (kann eine Kombination verschiedener unterstützter MFA-Typen sein) für Ihre Root- und IAM-Benutzer zu registrieren. Diese Funktion bietet Ihnen Flexibilität bei der Verwaltung Ihrer MFA-Geräte. Gleichzeitig können Sie den besten Typ eines MFA-Geräts für jeden Benutzer auswählen, basierend auf ihren spezifischen Bedürfnissen und Anforderungen.
Ihr Browser leitet Sie auf eine Seite weiter, ähnlich der unten dargestellten, auf der Sie einen QR-Code sehen können.
6. Öffnen Sie anschließend die Google Authenticator-App auf Ihrem Mobilgerät und tippen Sie auf QR-Code scannen, um die Kamera Ihres Geräts für das Scannen des QR-Codes zu öffnen.
7. Halten Sie die Kamera Ihres Geräts auf den angezeigten QR-Code auf Ihrem Browser, während Sie sicherstellen, dass der QR-Code scharf und vollständig auf dem Bildschirm sichtbar ist.
Die Google Authenticator-App erkennt automatisch den QR-Code und fügt einen neuen Eintrag für Ihren AWS IAM-Benutzer hinzu, zusammen mit einem sechsstelligen Authentifizierungscode. Beachten Sie, dass der sechsstellige Code regelmäßig wechselt.
8. Füllen Sie nun die beiden leeren Felder auf der Gerät einrichten-Seite mit zwei aufeinander folgenden Authentifizierungscodes aus der Google Authenticator-App aus und klicken Sie auf MFA hinzufügen. Dadurch wird Ihr MFA-Gerät authentifiziert und bei Ihrem IAM-Benutzer registriert.
Beachten Sie, dass jeder sechsstellige Code nur für einen begrenzten Zeitraum gültig ist, normalerweise 30 Sekunden, und dann abläuft. Dieser zeitlich begrenzte Aspekt des MFA-Codes erhöht die Sicherheit, indem das Zeitfenster für Angreifer reduziert wird, um den Code abzufangen und unbefugten Zugriff auf AWS-Ressourcen zu erhalten.
Das MFA-System überprüft, ob das Gerät des Benutzers die Codes in Echtzeit generiert, indem es verlangt, dass der Benutzer zwei aufeinanderfolgende Codes eingibt. Dieses Verhalten ist sicherer als das Wiederholen oder Stehlen von Codes aus einer vorherigen Sitzung.
Die Aktivierung der MFA-Authentifizierung für einen IAM-Benutzer betrifft nur die Anmeldeinformationen dieses bestimmten Benutzers. Andere IAM-Benutzer im selben AWS-Konto haben separate Identitäten mit eigenen Anmeldeinformationen, und jede Identität hat ihre eigene MFA-Konfiguration.
9. Zuletzt kehren Sie zur IAM-Konsolenseite zurück und Sie werden sehen, dass das MFA-Gerät erfolgreich für Ihren IAM-Benutzer hinzugefügt wurde, wie unten gezeigt.
Überprüfung der MFA-Einrichtung
Nachdem Sie MFA für Ihr AWS-Konto eingerichtet haben, müssen Sie noch überprüfen, ob Ihre MFA-Einrichtung korrekt funktioniert, bevor Sie sich darauf verlassen, um sich anzumelden.
Um Ihre MFA-Einrichtung zu überprüfen, gehen Sie wie folgt vor:
1. Melden Sie sich von der IAM-Konsole ab und melden Sie sich erneut mit Ihren IAM-Benutzeranmeldeinformationen an. Dieses Mal werden Sie aufgefordert, einen sechsstelligen MFA-Authentifizierungscode aus der Google Authenticator-App auf Ihrem Gerät einzugeben.
2. Geben Sie den Code ein und klicken Sie auf Senden, um den Authentifizierungsprozess abzuschließen.
3. Versuchen Sie abschließend, auf Ihre AWS-Ressourcen zuzugreifen und prüfen Sie, ob alles funktioniert.
Wenn Sie Ihr MFA-Gerät nicht verwenden können, um auf Ihre AWS-Ressourcen zuzugreifen, klicken Sie auf die Schaltfläche Resynchronisieren in der IAM-Konsole, um Ihr MFA-Gerät neu zu synchronisieren.
Zusammenfassung
Sicherheit ist immer ein wichtiges Anliegen, wenn es um Cloud-Computing geht. Mit Hilfe der Multi-Faktor-Authentifizierung erhöhen Sie die Sicherheit Ihres AWS-Kontos. In diesem Tutorial haben Sie gelernt, wie Sie AWS MFA für IAM-Benutzer einrichten, um Ihre Ressourcen vor unbefugtem Zugriff zu schützen.
Mit einer voll funktionsfähigen MFA können Sie sicher sein, dass Ihr AWS-Konto und Ihre Ressourcen vor bösartigen Aktivitäten geschützt sind.
Das Sichern Ihres Kontos über die AWS Management Console funktioniert gut, das steht außer Frage. Aber wenn Sie es bevorzugen, in einer Befehlszeilenumgebung zu arbeiten, warum dann nicht AWS MFA über die AWS CLI verwenden?