Uso de autenticación multifactor (MFA) en AWS - AWS Identity and Access Management

Uso de autenticación multifactor (MFA) en AWS

Para más seguridad, le recomendamos que configure la autenticación multifactor (MFA) para ayudar a proteger sus recursos de AWS. Puede habilitar MFA para el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Cuando habilita MFA para el usuario raíz, esto solo afecta a las credenciales del usuario raíz. Los usuarios de IAM de la cuenta son identidades diferenciadas que tienen sus propias credenciales, y cada identidad tiene su propia configuración de MFA. Puede registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Para más información sobre los tipos de MFA admitidos, consulte ¿Qué es MFA?. Con múltiples dispositivos de MFA, solo se necesita un dispositivo de MFA para iniciar sesión en la AWS Management Console o crear una sesión a través de la AWS CLI como ese usuario.

nota

Se recomienda exigir a los usuarios humanos que utilicen credenciales temporales cuando accedan a AWS. ¿Ha considerado la posibilidad de usar AWS IAM Identity Center? Puede usar IAM Identity Center para administrar de forma centralizada el acceso a múltiples Cuentas de AWS y proporcionar a los usuarios un acceso protegido por MFA y de inicio de sesión único a todas sus cuentas asignadas desde un solo lugar. Con IAM Identity Center, puede crear y administrar identidades de usuario en IAM Identity Center o conectarse fácilmente a su proveedor de identidades existente compatible con SAML 2.0. Para obtener más información, consulte ¿Qué es el Centro de identidades de IAM? en la Guía del usuario de AWS IAM Identity Center.

¿Qué es MFA?

MFA aporta seguridad adicional, ya que exige a los usuarios que proporcionen una autenticación exclusiva obtenida de un mecanismo de MFA admitido por AWS, además de las credenciales de inicio de sesión habituales cuando se accede a sitios web o servicios de AWS. AWS es compatible con los siguientes tipos de MFA.

Seguridad FIDO

Las claves de seguridad de hardware certificadas por FIDO las proporcionan proveedores externos.

FIDO Alliance mantiene una lista de todos los productos certificados por FIDO que son compatibles con las especificaciones de FIDO. Los estándares de autenticación FIDO se basan en la criptografía de clave pública, que permite una autenticación sólida y resistente a la suplantación de identidad que es más segura que las contraseñas. Las claves de seguridad de FIDO admiten múltiples cuentas raíz y usuarios de IAM que utilicen una única clave de seguridad. Para más información acerca de la habilitación de las claves de seguridad con FIDO, consulte Habilitación de una clave de seguridad FIDO (consola).

Dispositivos MFA virtuales

Aplicación de autenticador virtual que se ejecuta en un teléfono u otro dispositivo y emula un dispositivo físico.

Las aplicaciones de autenticación virtual aplican el algoritmo de contraseña temporal de un solo uso (TOTP) y admiten varios tokens en un mismo dispositivo. El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA virtual asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo MFA virtual de otro usuario para la autenticación. Dado que pueden ejecutarse en dispositivos móviles no seguros, es posible que la MFA virtual no ofrezca el mismo nivel de seguridad que las claves de seguridad FIDO.

Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivo MFA virtual, consulte Autenticación multifactor. Para obtener instrucciones acerca de cómo configurar un dispositivo MFA virtual con AWS, consulte Habilitación de un dispositivo de autenticación multifactor (MFA) virtual (consola).

Token TOTP de hardware

Un dispositivo de hardware que genera un código numérico de seis dígitos basado en el algoritmo de contraseña temporal de un solo uso (TOTP).

El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo de otro usuario para la autenticación. Para obtener más información sobre los dispositivos MFA físicos admitidos, consulte Autenticación multifactor. Para obtener instrucciones sobre cómo configurar un token TOTP de hardware con AWS, consulte Habilitar un token TOTP físico (consola).

Le recomendamos que utilice las llaves de seguridad FIDO como alternativa a los dispositivos TOTP de hardware. Las llaves de seguridad FIDO no necesitan baterías, son resistentes a la suplantación de identidad y son compatibles con varios usuarios raíz o de IAM en un solo dispositivo, lo que mejora la seguridad.

nota

MFA basada en mensaje de texto SMS: AWS finalizó la compatibilidad con la habilitación de la autenticación multifactor (MFA) por SMS. Recomendamos a los clientes que tienen usuarios de IAM que utilizan MFA basada en mensajes de texto SMS que cambien a uno de los siguientes métodos alternativos: clave de seguridad FIDO, dispositivo MFA virtual (basado en software) o dispositivo MFA de hardware. Puede identificar a los usuarios de su cuenta con un dispositivo MFA de SMS asignado. Para ello, vaya a la consola de IAM, elija Users (Usuarios) en el panel de navegación y busque los usuarios con SMS en la columna MFA de la tabla.