AWS Identity and Access Management
Guía del usuario

Habilitación de dispositivos MFA

Los pasos para configurar un dispositivo MFA dependen del tipo de dispositivo MFA que se utilice.

Pasos generales para habilitar dispositivos MFA

En el siguiente procedimiento de información general se describe cómo configurar y utilizar MFA y proporciona enlaces a información relacionada.

  1. Obtener un dispositivo MFA, como uno de los siguientes. Solo puede habilitar un dispositivo MFA por Usuario de la cuenta raíz de AWS o usuario de IAM.

    • Un dispositivo MFA virtual, que es una aplicación de software que cumple con RFC 6238, un algoritmo TOTP (contraseña de un solo uso basada en el tiempo) basado en estándares. Puede instalar la aplicación en un teléfono u otro dispositivo. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivo MFA virtual, consulte Autenticación multifactor.

    • Una llave de seguridad U2F con una configuración admitida por AWS, como uno de los dispositivos U2F examinados en la página Autenticación multifactor.

    • Un dispositivo MFA físico, como uno de los dispositivos de token de hardware compatibles con AWS descritos en la página Autenticación multifactor.

    • Un teléfono móvil que pueda recibir mensajes de texto SMS (servicio de mensajes cortos) estándar.

      Notas

      • Si decide utilizar una MFA basada en SMS, es posible que el proveedor de servicios de telefonía móvil le cobre por los mensajes de texto.

      • La MFA basada en SMS solo está disponible para usuarios de IAM y no se puede usar para el usuario raíz.

  2. Habilitar el dispositivo MFA.

    • Usuarios de IAM con dispositivos MFA físicos o virtuales: la activación se puede realizar desde la Consola de administración de AWS, la AWS CLI o la API de IAM.

    • Usuarios de IAM con llaves de seguridad U2F o un teléfono móvil que pueda recibir mensajes de texto SMS: la activación so se puede realizar desde la Consola de administración de AWS.

    • Usuarios de cuentas raíces de AWS con cualquier tipo de dispositivo MFA (excepto MFA por SMS, que no se admite para los usuarios de raíz): la activación so se puede realizar desde la Consola de administración de AWS.

    Para obtener información sobre la activación de cada tipo de dispositivo MFA, consulte las siguientes páginas:

  3. Utilizar el dispositivo MFA al iniciar sesión para obtener acceso a los recursos de AWS. Tenga en cuenta lo siguiente:

    • Llaves de seguridad U2F: para obtener acceso a un sitio web de AWS, introduzca sus credenciales y, a continuación, pulse en la llave de seguridad U2F cuando se indique.

    • Dispositivos MFA virtuales, dispositivos MFA físicos y dispositivos MFA basados en SMS: para obtener acceso a un sitio web de AWS, necesita un código MFA del dispositivo además del nombre de usuario y la contraseña. Si AWS determina que el usuario de IAM con el que inicia sesión está habilitado para MFA por SMS, envía automáticamente el código MFA al número de teléfono configurado.

      Para obtener acceso a operaciones de la API protegidas por MFA, necesita lo siguiente:

      • Un código MFA

      • El identificador del dispositivo MFA (el número de serie de dispositivo si se trata de un dispositivo físico o el ARN si es un dispositivo virtual o basado SMS definido en AWS)

      • El ID de clave de acceso y la clave de acceso secreta normales

    Notas

    • No puede transferir la información de MFA de una llave de seguridad U2F o dispositivo de MFA por SMS a operaciones de la API de AWS STS para solicitar credenciales temporales.

    • No puede utilizar los comandos de la AWS CLI ni operaciones de la API de AWS para activar llaves de seguridad U2F.

Para obtener más información, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.