Autenticación multifactor para Usuario raíz de la cuenta de AWS - AWS Identity and Access Management
Claves de acceso y claves de seguridadAplicaciones de autenticador virtualTokens TOTP físicos

Autenticación multifactor para Usuario raíz de la cuenta de AWS

La autenticación multifactor (MFA) es un mecanismo simple y eficaz para mejorar la seguridad. El primer factor, su contraseña, es un secreto que debe memorizar, también conocido como factor de conocimiento. Otros factores pueden ser factores de posesión (algo que posea, como una clave de seguridad) o factores inherentes (algo que sea suyo y solo suyo, como un escaneo biométrico). Para más seguridad, le recomendamos encarecidamente que configure la autenticación multifactor (MFA) para ayudar a proteger sus recursos de AWS.

Puede habilitar MFA para el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Cuando habilita la MFA para el usuario raíz, esto solo afecta a las credenciales del usuario raíz. Para obtener más información sobre cómo habilitar MFA para los usuarios de IAM, consulte Autenticación multifactor de AWS en IAM.

Antes de habilitar la MFA para su usuario raíz, revise y actualice la configuración de la cuenta y la información de contacto para asegurarse de que tiene acceso al correo electrónico y al número de teléfono. Si su dispositivo MFA se pierde, se lo roban o no funciona, puede iniciar sesión como usuario raíz mediante la verificación de su identidad con ese correo electrónico y número de teléfono. Para obtener más información acerca de cómo iniciar sesión con factores de autenticación alternativos, consulte Recuperación de una identidad protegida por MFA en IAM. Para deshabilitar esta característica, póngase en contacto con AWS Support.

AWS admite los siguientes tipos de MFA para el usuario raíz:

Claves de acceso y claves de seguridad

AWS Identity and Access Management admite claves de acceso y claves de seguridad para MFA. Según los estándares FIDO, las claves de acceso utilizan la criptografía de clave pública para proporcionar una autenticación sólida y resistente a la suplantación de identidad que es más segura que las contraseñas. AWS admite dos tipos de claves de acceso: claves de acceso vinculadas al dispositivo (claves de seguridad) y claves de acceso sincronizadas.

  • Claves de seguridad: son dispositivos físicos, como una YubiKey, que se utilizan como segundo factor de autenticación. Una sola clave de seguridad puede admitir varias cuentas de usuario raíz y usuarios de IAM.

  • Claves de acceso sincronizadas: utilizan administradores de credenciales de proveedores como Google, Apple, cuentas de Microsoft y servicios de terceros como 1Password, Dashlane y Bitwarden como segundo factor.

Puede utilizar autenticadores biométricos integrados, como Touch ID en los MacBooks de Apple, para desbloquear el administrador de credenciales e iniciar sesión en AWS. Las claves de acceso se crean con el proveedor que elija mediante su huella digital, su rostro o el PIN del dispositivo. Puede sincronizar las claves de acceso entre sus dispositivos para facilitar el inicio de sesión con AWS y mejorar la usabilidad y la capacidad de recuperación.

IAM no admite el registro de contraseña local para Windows Hello. Para crear y utilizar contraseñas, los usuarios de Windows deben utilizar la autenticación entre dispositivos, en la que se utiliza una contraseña de un dispositivo, como un dispositivo móvil o una clave de seguridad de hardware, para iniciar sesión en otro dispositivo, como un portátil. FIDO Alliance mantiene una lista de todos los productos certificados por FIDO que son compatibles con las especificaciones de FIDO. Para obtener más información acerca de la habilitación de las claves de acceso y las claves de seguridad, consulte Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola).

Aplicaciones de autenticador virtual

Una aplicación de autenticador virtual se ejecuta en un teléfono u otro dispositivo y emula un dispositivo físico. Las aplicaciones de autenticación virtual aplican el algoritmo de contraseña temporal de un solo uso (TOTP) y admiten varios tokens en un mismo dispositivo. El usuario debe escribir un código válido del dispositivo cuando se le solicite durante el proceso de inicio de sesión. Cada token asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el token de otro usuario para la autenticación.

Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivos de MFA virtuales, consulte Autenticación multifactor (MFA). Para obtener instrucciones acerca de cómo configurar un dispositivo MFA virtual con AWS, consulte Habilitación de un dispositivo MFA virtual para el usuario raíz (consola).

Tokens TOTP físicos

Un dispositivo de hardware genera un código numérico de seis dígitos basado en el algoritmo de contraseña temporal de un solo uso (TOTP). El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo de otro usuario para la autenticación. Para obtener más información sobre los dispositivos MFA físicos admitidos, consulte Autenticación multifactor (MFA). Para obtener instrucciones sobre cómo configurar un token TOTP de hardware con AWS, consulte Habilitación de un token TOTP de hardware para el usuario raíz de la (consola).

Si desea usar un dispositivo MFA físico, le recomendamos que utilice las claves de seguridad FIDO como una alternativa a los dispositivos TOTP físicos. Las claves de seguridad FIDO tienen la ventaja de que no necesitan baterías, son resistentes a la suplantación de identidad y son compatibles con varios usuarios raíz o de IAM en un solo dispositivo, lo que mejora la seguridad.

Temas