Uso de autenticación multifactor (MFA) en AWS - AWS Identity and Access Management

Uso de autenticación multifactor (MFA) en AWS

Para más seguridad, le recomendamos que configure la autenticación multifactor (MFA) para ayudar a proteger sus recursos de AWS. Puede habilitar la MFA para usuarios de IAM o usuarios raíz Cuenta de AWS. Cuando habilita MFA para el usuario raíz, esto solo afecta a las credenciales del usuario raíz. Los usuarios de IAM de la cuenta son identidades diferenciadas que tienen sus propias credenciales, y cada identidad tiene su propia configuración de MFA.

nota

¿Ha considerado usar AWS IAM Identity Center (successor to AWS Single Sign-On) (AWS IAM Identity Center (successor to AWS Single Sign-On)) (IAM Identity Center)? Puede usar IAM Identity Center para administrar de forma centralizada el acceso a múltiples Cuentas de AWS y proporcionar a los usuarios un acceso protegido por MFA y de inicio de sesión único a todas sus cuentas asignadas desde un solo lugar. Con IAM Identity Center, puede crear y administrar identidades de usuario en IAM Identity Center o conectarse fácilmente a su proveedor de identidades existente compatible con SAML 2.0. Para obtener más información, consulte ¿Qué es IAM Identity Center? en la AWS IAM Identity Center (successor to AWS Single Sign-On)Guía del usuario de AWS IAM Identity Center (successor to AWS Single Sign-On) (AWS IAM Identity Center (successor to AWS Single Sign-On)).

¿Qué es MFA?

MFA aporta seguridad adicional, ya que exige a los usuarios que proporcionen una autenticación exclusiva obtenida de un mecanismo de MFA admitido por AWS, además de sus credenciales de inicio de sesión habituales, para obtener acceso a los sitios web o servicios de AWS:

  • Dispositivos MFA virtuales. Una aplicación de software que se ejecuta en un teléfono u otro dispositivo y simula un dispositivo físico. El dispositivo genera un código de seis dígitos basándose en un algoritmo de contraseña de uso único y sincronización de tiempo. El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA virtual asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo MFA virtual de otro usuario para la autenticación. Dado que pueden ejecutarse en dispositivos móviles no seguros, la MFA virtual podría no proporcionar el mismo nivel de seguridad que los dispositivos FIDO2 o los dispositivos MFA de hardware. Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivo MFA virtual, consulte Autenticación multifactor. Para obtener instrucciones acerca de cómo configurar un dispositivo MFA virtual con AWS, consulte Habilitación de un dispositivo de autenticación multifactor (MFA) virtual (consola).

  • Clave de seguridad FIDO. Un dispositivo que se conectan a un puerto USB del equipo. FIDO2 es un estándar de autenticación abierto auspiciado por FIDO Alliance. Cuando active una clave de seguridad FIDO2, iniciará la sesión ingresando sus credenciales y luego tocando el dispositivo en lugar de ingresar manualmente un código. Para obtener más información sobre las claves de seguridad FIDO2 compatibles con AWS, consulte Multi-Factor Authentication (Autenticación multifactor). Para obtener instrucciones acerca de cómo configurar una clave de seguridad FIDO2 con AWS, consulte Habilitación de una clave de seguridad FIDO (consola).

  • Dispositivo MFA físico. Un dispositivo físico que genera un código de seis dígitos basándose en un algoritmo de contraseña de uso único y sincronización de tiempo. El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo de otro usuario para la autenticación. Para obtener más información sobre los dispositivos MFA físicos admitidos, consulte Autenticación multifactor. Para obtener instrucciones acerca de cómo configurar un dispositivo MFA físico con AWS, consulte Habilitar un dispositivo MFA físico (consola).

    nota

    MFA basada en mensaje de texto SMS. AWS finalizó el soporte para habilitar la autenticación multifactor (MFA) por SMS. Recomendamos a los clientes que tienen usuarios de IAM que utilizan MFA basado en mensajes de texto SMS que cambien a uno de los siguientes métodos alternativos: dispositivo MFA virtual (basado en software), clave de seguridad FIDO o dispositivo MFA de hardware. Puede identificar a los usuarios de su cuenta con un dispositivo MFA de SMS asignado. Para ello, vaya a la consola de IAM, elija Users (Usuarios) en el panel de navegación y busque los usuarios con SMS en la columna MFA de la tabla.