AWS Identity and Access Management
Guía del usuario

Habilitar un dispositivo MFA físico (consola)

Un dispositivo MFA físico genera un código de seis dígitos basándose en un algoritmo de contraseña de uso único y sincronización de tiempo. El usuario debe escribir un código válido del dispositivo cuando se le solicite durante el proceso de inicio de sesión. Todos los dispositivos MFA asignados a un usuario deben ser únicos; un usuario no puede escribir el código del dispositivo de otro usuario para autenticarlo.

Los dispositivos MFA físicos y las llaves de seguridad U2F son dispositivos físicos que usted compra. La diferencia es que los dispositivos MFA físicos generan un código que usted ve y, a continuación, introduce cuando se le solicite al iniciar sesión en AWS. Con una llave de seguridad U2F, no ve ni escribe un código de autenticación. En cambio, la llave de seguridad U2F genera una respuesta sin presentársela al usuario y el servicio la valida. Para obtener información sobre las especificaciones y opciones de compra de ambos tipos de dispositivo, consulte Autenticación multifactor.

Puede habilitar un dispositivo MFA físico para un usuario de IAMdesde la Consola de administración de AWS, la línea de comandos o la API de IAM. Para habilitar un dispositivo MFA para su Usuario de la cuenta raíz de AWS, consulte Habilitar de un dispositivo MFA físico para el usuario raíz de la cuenta de AWS (consola).

Puede habilitar un dispositivo MFA (de cualquier clase) por usuario de IAM o usuario raíz.

nota

Si desea habilitar el dispositivo desde la línea de comandos, use iam-userenablemfadevice aws iam enable-mfa-device. Para habilitar el dispositivo MFA con la API de IAM, utilice la operación EnableMFADevice.

Permisos necesarios

Para administrar un dispositivo MFA físico para su propio usuario de IAM y proteger al mismo tiempo las acciones sensibles relacionadas con MFA, debe contar con los permisos de la siguiente política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Habilitar un dispositivo MFA físico para su propio usuario de IAM (consola)

Puede habilitar su propio dispositivo MFA físico desde la Consola de administración de AWS.

nota

Para poder habilitar un dispositivo MFA físico, debe tener acceso físico al dispositivo.

Para habilitar un dispositivo MFA físico para su propio usuario de IAM (consola)

  1. Utilice su ID de cuenta de AWS o alias de cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

    nota

    Para su comodidad, la página de inicio de sesión de AWS utiliza una cookie de navegador para recordar el nombre de usuario de IAM y la información de la cuenta. Si ya ha iniciado sesión con otro nombre de usuario distinto, elija Sign in to a different account cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Aquí podrá escribir su ID de cuenta de AWS o alias de cuenta para que se le redirija a la página de inicio de sesión de usuario IAM de su cuenta.

    Obtener el ID de cuenta de AWS, póngase en contacto con su administrador.

  2. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, elija My Security Credentials (Mis credenciales de seguridad).

    
                  Enlace My Security Credentials de la consola de administración de AWS
  3. En la pestaña AWS IAM credentials (Credenciales de AWS IAM), en la sección Multi-factor authentication (Autenticación multifactor), elija Manage MFA device (Administrar dispositivo MFA).

  4. En el asistente Manage MFA device (Administrar dispositivo MFA), elija Hardware MFA device (Dispositivo MFA físico) y, a continuación, elija Continue (Continuar).

  5. Escriba el número de serie del dispositivo. Por lo general, se encuentra en la parte posterior del dispositivo.

  6. En el cuadro MFA code 1 (Código MFA 1), escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Puede que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.

    
                  Panel de IAM, dispositivo MFA
  7. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro MFA code 2 (Código MFA 2). Puede que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

  8. Elija Assign MFA (Asignar MFA).

    importante

    Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

El dispositivo ya está listo para usarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.

Habilitar un dispositivo MFA físico para otro usuario de IAM (consola)

Puede habilitar un dispositivo MFA físico para otro usuario de IAM desde la Consola de administración de AWS.

Para habilitar un dispositivo MFA físico para otro usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Seleccione el nombre del usuario para el que quiera habilitar MFA y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

  4. Al lado de Assigned MFA device (Dispositivo MFA asignado), seleccione Manage (Administrar).

  5. En el asistente Manage MFA device (Administrar dispositivo MFA), elija Hardware MFA device (Dispositivo MFA físico) y, a continuación, elija Continue (Continuar).

  6. Escriba el número de serie del dispositivo. Por lo general, se encuentra en la parte posterior del dispositivo.

  7. En el cuadro MFA code 1 (Código MFA 1), escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Puede que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.

    
            Panel de IAM, dispositivo MFA
  8. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro MFA code 2 (Código MFA 2). Puede que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

  9. Elija Assign MFA (Asignar MFA).

    importante

    Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

El dispositivo ya está listo para usarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.

Habilitar de un dispositivo MFA físico para el usuario raíz de la cuenta de AWS (consola)

Puede configurar y habilitar un dispositivo MFA virtual para su usuario raíz solo desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

de Si su dispositivo MFA se ha perdido, ha sido robado o no funciona, puede iniciar sesión con otros factores de autenticación. Si no puede iniciar sesión con su dispositivo MFA, puede hacerlo verificando su identidad con el correo electrónico y teléfono que están registrados en su cuenta. Antes de habilitar MFA para su usuario usuario raíz, revise la configuración de la cuenta y la información de contacto para asegurarse de que tiene acceso al correo electrónico y al número de teléfono. Para obtener más información acerca de cómo iniciar sesión con factores de autenticación alternativos, consulte ¿Qué pasa si un dispositivo de MFA se pierde o deja de funcionar?. Para deshabilitar esta característica, póngase en contacto con AWS Support.

nota

Puede ver texto diferente, como, por ejemplo, Iniciar sesión mediante MFA y Solución de problemas con el dispositivo de autenticación. Sin embargo, se proporcionan las mismas características. En cualquier caso, si no puede verificar la dirección de correo electrónico y el número de teléfono de su cuenta mediante factores de autenticación alternativos, póngase en contacto con AWS Support para desactivar la configuración de MFA.

Para habilitar el dispositivo MFA para su usuario usuario raíz (consola)

  1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión en la Consola de administración de AWS como Usuario de la cuenta raíz de AWS.

    nota

    Si antes ha iniciado sesión en la consola con las credenciales de usuario de IAM, el navegador podría abrir su página de inicio de sesión específica de la cuenta. No puede utilizar la página de inicio de sesión de usuario de IAM; para iniciar sesión con las credenciales de Usuario de la cuenta raíz de AWS. Si aparece la página de inicio de sesión de usuario de IAM, elija Sign-in using usuario raíz credentials (Iniciar sesión con las credenciales de usuario raíz) cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir la dirección de correo electrónico y la contraseña de su cuenta de AWS.

  2. En la parte derecha de la barra de navegación, elija su nombre de cuenta y seleccione My Security Credentials (Mis credenciales de seguridad). Si es necesario, elija Continue to Security Credentials (Continuar a credenciales de seguridad).

    
                  My Security Credentials (Mis credenciales de seguridad) en el menú de navegación
  3. Expanda la sección Multi-factor authentication (MFA) (Autenticación multifactor [MFA]).

  4. Seleccione Manage MFA (Administrar MFA) o Activate MFA (Activar MFA), en función de la opción que haya elegido en el paso anterior.

  5. En el asistente, elija Hardware MFA device (Dispositivo MFA físico) y, a continuación, seleccione Continue (Continuar).

  6. En el campo Serial number (Número de serie), escriba el número de serie que se encuentra en la parte posterior del dispositivo MFA.

  7. En el cuadro MFA code 1 (Código MFA 1), escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Puede que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.

    
                  Panel de IAM, dispositivo MFA
  8. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro MFA code 2 (Código MFA 2). Puede que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

  9. Elija Assign MFA (Asignar MFA). Ahora el dispositivo MFA está asociado a la cuenta de AWS.

    importante

    Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

    La próxima vez que utilice sus credenciales de usuario usuario raíz para iniciar sesión, debe escribir un código del dispositivo MFA.

Reemplazar o "rotar" un dispositivo MFA físico

Solo puede tener un único dispositivo MFA asignado a un usuario a la vez. Si el usuario pierde un dispositivo o debe reemplazarlo por cualquier motivo, primero debe desactivar el antiguo dispositivo. Después, puede añadir el nuevo dispositivo para el usuario.