Pasos generales para habilitar dispositivos MFA - AWS Identity and Access Management

Pasos generales para habilitar dispositivos MFA

En el siguiente procedimiento de información general se describe cómo configurar y utilizar MFA y proporciona enlaces a información relacionada.

Nota

Para obtener más información, también puede ver el siguiente video en inglés: Cómo configurar la autenticación multifactor (MFA) de AWS y las alertas de presupuesto de AWS.

  1. Obtener un dispositivo MFA, como uno de los siguientes. Puede habilitar hasta ocho dispositivos MFA por Usuario raíz de la cuenta de AWS o usuario de IAM de cualquier combinación de los siguientes tipos.

  2. Habilitar el dispositivo MFA.

    • Tokens TOTP virtuales o de hardware: puede utilizar comandos de la AWS CLI u operaciones de la API de AWS para habilitar un dispositivo MFA virtual para un usuario de IAM. No es posible habilitar un dispositivo MFA para el Usuario raíz de la cuenta de AWS con la AWS CLI, la API de AWS, las herramientas para Windows PowerShell ni con ninguna otra herramienta de línea de comandos. Sin embargo, puede utilizar la AWS Management Console para habilitar un dispositivo MFA para el usuario raíz.

    • Claves de seguridad FIDO: los usuarios raíz y los usuarios de IAM con claves de seguridad FIDO pueden habilitarlas únicamente desde la AWS Management Console, no desde la AWS CLI ni la API de AWS.

    Para obtener información sobre la activación de cada tipo de dispositivo MFA, consulte las siguientes páginas:

  3. Habilitar varios dispositivos MFA (recomendado)

    • Le recomendamos que habilite varios dispositivos MFA para el Usuario raíz de la cuenta de AWS y los usuarios de IAM en las Cuentas de AWS. Esto le permite subir el nivel de seguridad de sus Cuentas de AWS y simplificar la administración de acceso a usuarios con privilegios elevados, como el Usuario raíz de la cuenta de AWS.

    • Puede registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Con varios dispositivos MFA, solo necesita un dispositivo MFA para iniciar sesión en la AWS Management Console o crear una sesión a través de AWS CLI como ese usuario. Un usuario de IAM debe autenticarse con un dispositivo de MFA existente para habilitar o deshabilitar un dispositivo de MFA adicional.

    • En caso de pérdida, robo o inaccesibilidad de un dispositivo MFA, puede utilizar uno de los dispositivos MFA restantes para acceder a la Cuenta de AWS sin seguir el procedimiento de recuperación de Cuenta de AWS. En caso de pérdida o robo de un dispositivo MFA, este debe disociarse del principal de IAM al que está asociado.

    • El uso de varios MFA permite que sus empleados que se encuentren en ubicaciones geográficamente dispersas o que trabajen de forma remota utilicen MFA basado en hardware para acceder a AWS sin necesidad de coordinar un intercambio físico de un único dispositivo de hardware entre empleados.

    • El uso de dispositivos MFA adicionales para los directores de IAM permite utilizar uno o más MFA para el uso diario y, al mismo tiempo, mantener los dispositivos MFA físicos en una ubicación física segura, como una bóveda o una caja fuerte para realizar copias de seguridad y redundancia.

  4. Utilizar el dispositivo MFA al iniciar sesión para obtener acceso a los recursos de AWS. Tenga en cuenta lo siguiente:

    • Claves de seguridad FIDO: para acceder a un sitio web de AWS, ingrese las credenciales y, a continuación, toque la clave de seguridad FIDO cuando se le solicite.

    • Dispositivos MFA virtuales y tokens TOTP de hardware: para acceder a un sitio web de AWS, necesita un código MFA del dispositivo además de su nombre de usuario y contraseña.

      Para obtener acceso a operaciones de la API protegidas por MFA, necesita lo siguiente:

      • Un código MFA

      • El identificador del dispositivo MFA (el número de serie de un dispositivo físico o el ARN de un dispositivo virtual definido en AWS)

      • El ID de clave de acceso y la clave de acceso secreta normales

    Notas
    • No se puede pasar la información MFA de una clave de seguridad FIDO a las operaciones de la API de AWS STS para solicitar credenciales temporales.

    • No puede utilizar los comandos de la AWS CLI ni operaciones de la API de AWS para activar FIDO security keys (Claves de seguridad FIDO).

    • No puede utilizar el mismo nombre para más de un dispositivo MFA de raíz o de IAM.

Para obtener más información, consulte Uso de dispositivos MFA con la página de inicio de sesión de IAM.