AWS新增两项安全功能

AWS最近宣布了两项新的安全功能。首先，现在可以为根用户和IAM用户使用Passkey进行多因素认证（MFA），提供比仅使用用户名和密码更高的安全性。其次，AWS现在要求根用户启用MFA，这一要求从AWS组织中的根用户账户开始，并将在年内逐步扩展到其他账户。

Passkey的工作原理

AWS首席开发者倡导者Sébastien Stormacq在一篇博客中详细介绍了这些MFA相关的更新。Passkey是一种基于FIDO2认证的安全令牌，由一对加密密钥组成：公钥存储在服务提供商处，私钥则安全地存储在用户设备上（如安全密钥），或通过iCloud Keychain、Google账户或1Password等密码管理器跨设备同步。

MFA强制实施

作为安全更新的一部分，AWS现在强制要求某些账户的根用户启用MFA。这一举措最初由亚马逊首席安全官Stephen Schmidt在去年宣布，旨在增强最敏感账户的安全性。AWS已逐步开始实施这一要求，首先从少数AWS组织管理账户开始，并计划逐步覆盖大多数账户。未启用MFA的根用户将在登录时收到提示，并有宽限期来激活MFA。

如何启用Passkey MFA

要启用Passkey MFA，用户需要访问AWS控制台的IAM部分，选择目标用户后，找到MFA部分并点击“分配MFA设备”。值得注意的是，为一个用户启用多个MFA设备可以提高账户恢复的灵活性。在命名设备并选择“Passkey或安全密钥”后，如果用户使用支持Passkey的密码管理器，该管理器将生成并存储Passkey；否则，浏览器将根据操作系统和浏览器提供不同的选项。

用户反馈与讨论

在Reddit上关于该公告的讨论中，有用户指出发布文档中提到的Identity Center与Passkey支持的范围可能存在不一致。讨论进一步得出结论，此次更新主要为FIDO2平台认证器（Passkey）提供了支持，同时保留了现有的漫游认证器（安全密钥）支持。

区域限制

Passkey MFA目前在所有AWS区域（除中国外）均可使用。同时，强制MFA的要求在所有区域（除中国北京、宁夏和AWS GovCloud（US）外）生效，因为这些区域没有根用户。