Habilitación de dispositivos MFA para usuarios en AWS

Los pasos para configurar un dispositivo MFA dependen del tipo de dispositivo MFA que se utilice.

Temas

• Pasos generales para habilitar dispositivos MFA
• Habilitación de un dispositivo de autenticación multifactor (MFA) virtual (consola)
• Habilitación de una clave de seguridad FIDO (consola)
• Habilitar un token TOTP físico (consola)
• Activación y administración de dispositivos de MFA virtuales (API de AWS CLI o de AWS)

Pasos generales para habilitar dispositivos MFA

En el siguiente procedimiento de información general se describe cómo configurar y utilizar MFA y proporciona enlaces a información relacionada.

Nota

Para obtener más información, también puede ver el siguiente video en inglés: Cómo configurar la autenticación multifactor (MFA) de AWS y las alertas de presupuesto de AWS.

1. Obtener un dispositivo MFA, como uno de los siguientes. Puede habilitar hasta ocho dispositivos MFA por Usuario raíz de la cuenta de AWS o usuario de IAM de cualquier combinación de los siguientes tipos.

   • Un dispositivo MFA virtual, que es una aplicación de software que cumple con RFC 6238, un algoritmo TOTP (contraseña de un solo uso basada en el tiempo) basado en estándares. Puede instalar la aplicación en un teléfono u otro dispositivo. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivo MFA virtual, consulte Autenticación multifactor.

   • Una clave de seguridad FIDO con una configuración de AWS compatible. FIDO Alliance mantiene una lista de todos los productos certificados por FIDO que son compatibles con las especificaciones de FIDO.

   • Un dispositivo MFA basado en hardware de un proveedor externo, como un dispositivo simbólico. Estos tokens se utilizan exclusivamente con Cuentas de AWS. Para obtener más información, consulte Habilitar un token TOTP físico (consola). Puede adquirir estos tokens directamente de los fabricantes como llavero o dispositivo de tarjeta gráfica.

2. Habilitar el dispositivo MFA.

   • Tokens TOTP virtuales o de hardware: puede utilizar comandos de la AWS CLI u operaciones de la API de AWS para habilitar un dispositivo MFA virtual para un usuario de IAM. No es posible habilitar un dispositivo MFA para el Usuario raíz de la cuenta de AWS con la AWS CLI, la API de AWS, las herramientas para Windows PowerShell ni con ninguna otra herramienta de línea de comandos. Sin embargo, puede utilizar la AWS Management Console para habilitar un dispositivo MFA para el usuario raíz.

   • Claves de seguridad FIDO: los usuarios raíz y los usuarios de IAM con claves de seguridad FIDO pueden habilitarlas únicamente desde la AWS Management Console, no desde la AWS CLI ni la API de AWS.

   Para obtener información sobre la activación de cada tipo de dispositivo MFA, consulte las siguientes páginas:

   • Dispositivo de MFA virtual: Habilitación de un dispositivo de autenticación multifactor (MFA) virtual (consola)

   • Clave de seguridad FIDO: Habilitación de una clave de seguridad FIDO (consola)

   • Token TOTP de hardware: Habilitar un token TOTP físico (consola)

3. Habilitar varios dispositivos MFA (recomendado)

   • Le recomendamos que habilite varios dispositivos MFA para el Usuario raíz de la cuenta de AWS y los usuarios de IAM en las Cuentas de AWS. Esto le permite subir el nivel de seguridad de sus Cuentas de AWS y simplificar la administración de acceso a usuarios con privilegios elevados, como el Usuario raíz de la cuenta de AWS.

   • Puede registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Con varios dispositivos MFA, solo necesita un dispositivo MFA para iniciar sesión en la AWS Management Console o crear una sesión a través de AWS CLI como ese usuario. Un usuario de IAM debe autenticarse con un dispositivo de MFA existente para habilitar o deshabilitar un dispositivo de MFA adicional.

   • En caso de pérdida, robo o inaccesibilidad de un dispositivo MFA, puede utilizar uno de los dispositivos MFA restantes para acceder a la Cuenta de AWS sin seguir el procedimiento de recuperación de Cuenta de AWS. En caso de pérdida o robo de un dispositivo MFA, este debe disociarse del principal de IAM al que está asociado.

   • El uso de varios MFA permite que sus empleados que se encuentren en ubicaciones geográficamente dispersas o que trabajen de forma remota utilicen MFA basado en hardware para acceder a AWS sin necesidad de coordinar un intercambio físico de un único dispositivo de hardware entre empleados.

   • El uso de dispositivos MFA adicionales para los directores de IAM permite utilizar uno o más MFA para el uso diario y, al mismo tiempo, mantener los dispositivos MFA físicos en una ubicación física segura, como una bóveda o una caja fuerte para realizar copias de seguridad y redundancia.

4. Utilizar el dispositivo MFA al iniciar sesión para obtener acceso a los recursos de AWS. Tenga en cuenta lo siguiente:

   • Claves de seguridad FIDO: para acceder a un sitio web de AWS, ingrese las credenciales y, a continuación, toque la clave de seguridad FIDO cuando se le solicite.

   • Dispositivos MFA virtuales y tokens TOTP de hardware: para acceder a un sitio web de AWS, necesita un código MFA del dispositivo además de su nombre de usuario y contraseña.

     Para obtener acceso a operaciones de la API protegidas por MFA, necesita lo siguiente:

     • Un código MFA

     • El identificador del dispositivo MFA (el número de serie de un dispositivo físico o el ARN de un dispositivo virtual definido en AWS)

     • El ID de clave de acceso y la clave de acceso secreta normales

   Notas

   • No se puede pasar la información MFA de una clave de seguridad FIDO a las operaciones de la API de AWS STS para solicitar credenciales temporales.

   • No puede utilizar los comandos de la AWS CLI ni operaciones de la API de AWS para activar FIDO security keys (Claves de seguridad FIDO).

Para obtener más información, consulte Uso de dispositivos MFA con la página de inicio de sesión de IAM.