Habilitar un token TOTP físico (consola) - AWS Identity and Access Management

Habilitar un token TOTP físico (consola)

Un token TOTP de hardware genera un código numérico de seis dígitos basado en un algoritmo de contraseña temporal de un solo uso (TOTP). El usuario debe escribir un código válido del dispositivo cuando se le solicite durante el proceso de inicio de sesión. Todos los dispositivos MFA asignados a un usuario deben ser únicos; un usuario no puede escribir el código del dispositivo de otro usuario para autenticarlo. Los dispositivos MFA no se pueden compartir entre cuentas o usuarios.

Los tokens TOTP de hardware y las claves de seguridad FIDO son dispositivos físicos que se compran. Los dispositivos MFA de hardware generan códigos TOTP para la autenticación al iniciar sesión en AWS. Se basan en baterías, las cuales pueden necesitar ser reemplazadas y resincronizadas con AWS en el tiempo. Las claves de seguridad FIDO, que utilizan criptografía de clave pública, no requieren baterías y ofrecen un proceso de autenticación perfecto. Recomendamos utilizar las claves de seguridad FIDO para evitar la suplantación de identidad, ya que ofrecen una alternativa más segura a los dispositivos TOTP. Además, las llaves de seguridad FIDO con compatibles con varios usuarios raíz o de IAM en el mismo dispositivo, lo que mejora su utilidad para la seguridad de las cuentas. Para obtener información sobre las especificaciones y opciones de compra de ambos tipos de dispositivo, consulte Autenticación multifactor.

Se puede habilitar un token TOTP de hardware para un usuario de IAM desde la AWS Management Console, la línea de comandos o la API de IAM. Para habilitar un dispositivo MFA para su Usuario raíz de la cuenta de AWS, consulte Habilitación de un token TOTP de hardware para el usuario raíz de la Cuenta de AWS (consola).

Puede registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Con varios dispositivos MFA, solo necesita un dispositivo MFA para iniciar sesión en la AWS Management Console o crear una sesión a través de AWS CLI como ese usuario.

importante

Se recomienda habilitar varios dispositivos MFA para que los usuarios puedan seguir accediendo a la cuenta en caso de pérdida o inaccesibilidad del dispositivo MFA.

nota

Si desea habilitar el dispositivo MFA desde la línea de comandos, utilice aws iam enable-mfa-device. Para habilitar el dispositivo MFA con la API de IAM, utilice la operación EnableMFADevice.

Permisos necesarios

Para administrar un token TOTP de hardware para su propio usuario de IAM mientras protege acciones sensibles relacionadas con MFA, debe tener los permisos de la siguiente política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Habilitar un token TOTP de hardware para su propio usuario de IAM (consola)

Puede habilitar su propio token TOTP de hardware desde la AWS Management Console.

nota

Para poder habilitar un dispositivo MFA físico, debe tener acceso físico al dispositivo.

Para habilitar un token TOTP de hardware para su propio usuario de IAM (consola)
  1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

    nota

    Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija Iniciar sesión en otra cuenta cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

    Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

  2. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, Security credentials (Credenciales de seguridad).

    
            Enlace de credenciales de seguridad de la AWS Management Console
  3. En la pestaña Credenciales de AWS IAM, en la sección Autenticación multifactor (MFA), elija Asignar dispositivo MFA.

  4. En el asistente, escriba un Device name (Nombre del dispositivo), elija Hardware TOTP token (Token TOTP de hardware) y, a continuación, elija Next (Siguiente).

  5. Escriba el número de serie del dispositivo. Por lo general, se encuentra en la parte posterior del dispositivo.

  6. En el cuadro Código MFA 1, escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Es posible que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.

    
            Panel de IAM, dispositivo MFA
  7. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro Código MFA 2. Es posible que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

  8. Elija Agregar MFA.

    importante

    Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

El dispositivo ya está listo para utilizarlo con AWS. Para obtener más información sobre el uso de MFA con la AWS Management Console, consulte Uso de dispositivos MFA con la página de inicio de sesión de IAM.

Habilitar un token TOTP de hardware para otro usuario de IAM (consola)

Puede habilitar un token TOTP de hardware para otro usuario de IAM desde la AWS Management Console.

Para habilitar un token TOTP de hardware para otro usuario de IAM (consola)
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Usuarios.

  3. Elija el nombre del usuario para el que desea activar la MFA.

  4. Elija la pestaña Credenciales de seguridad. En autenticación multifactor (MFA), seleccione Asignar dispositivo MFA.

  5. En el asistente, escriba un Nombre del dispositivo, elija Token TOTP de hardware y, a continuación, elija Siguiente.

  6. Escriba el número de serie del dispositivo. Por lo general, se encuentra en la parte posterior del dispositivo.

  7. En el cuadro Código MFA 1, escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Es posible que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.

    
            Panel de IAM, dispositivo MFA
  8. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro Código MFA 2. Es posible que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

  9. Elija Agregar MFA.

    importante

    Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

El dispositivo ya está listo para utilizarlo con AWS. Para obtener más información sobre el uso de MFA con la AWS Management Console, consulte Uso de dispositivos MFA con la página de inicio de sesión de IAM.

Reemplazar un dispositivo MFA físico

Puede tener hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente asignados a un usuario a la vez con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Si el usuario pierde un dispositivo o debe reemplazarlo por cualquier motivo, primero debe desactivar el antiguo dispositivo. Después, puede añadir el nuevo dispositivo para el usuario.