AWS Identity and Access Management
Guía del usuario

Habilitación de una llave de seguridad U2F (consola)

Las llaves de seguridad segundo factor universal (U2F) son un tipo de dispositivo MFA que puede utilizar para proteger sus recursos de AWS. Conecte la llave de seguridad U2F a uno de los puertos USB del equipo; para habilitarla, siga las instrucciones que aparecen a continuación. Después de habilitarla, pulse en ella cuando se le solicite para completar con seguridad el proceso de inicio de sesión. Si ya utiliza una llave de seguridad U2F con otros servicios y tiene una configuración admitida por AWS (por ejemplo, Yubikey 4 o 5 de Yubico), también puede usarla con AWS. De no ser así, debe comprar una llave de seguridad U2F si desea utilizar U2F para MFA en AWS. Para obtener información sobre las especificaciones y opciones de compra, consulte Autenticación multifactor.

U2F es un estándar de autenticación alojado por FIDO Alliance. Cuando se habilita una llave U2F en AWS, la llave de seguridad U2F crea un nuevo par de claves de su uso exclusivo con AWS. En primer lugar, introduzca sus credenciales. Cuando se le solicite, pulse en la llave de seguridad U2F, que responde a la solicitud de verificación de autenticación emitida por AWS. Para obtener más información acerca del estándar U2F, consulte segundo factor universal.

Puede habilitar un dispositivo MFA (de cualquier clase) por usuario de IAM o usuario raíz.

Permisos necesarios

Para administrar una llave de seguridad U2F para su propio usuario de IAM y proteger al mismo tiempo las acciones sensibles relacionadas con MFA, debe contar con los permisos de la siguiente política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)

Solo puede habilitar una llave de seguridad U2F para su propio usuario de IAM desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

nota

Para poder habilitar una llave de seguridad U2F, debe tener acceso físico al dispositivo.

Para habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)

  1. Utilice su ID de cuenta de AWS o alias de cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

    nota

    Para su comodidad, la página de inicio de sesión de AWS utiliza una cookie de navegador para recordar el nombre de usuario de IAM y la información de la cuenta. Si ya ha iniciado sesión con otro nombre de usuario distinto, elija Sign in to a different account cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Aquí podrá escribir su ID de cuenta de AWS o alias de cuenta para que se le redirija a la página de inicio de sesión de usuario IAM de su cuenta.

    Obtener el ID de cuenta de AWS, póngase en contacto con su administrador.

  2. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, elija My Security Credentials (Mis credenciales de seguridad).

    
                  Enlace My Security Credentials de la consola de administración de AWS
  3. En la pestaña AWS IAM credentials (Credenciales de AWS IAM), en la sección Multi-factor authentication (Autenticación multifactor), elija Manage MFA device (Administrar dispositivo MFA).

  4. En el asistente Manage MFA device (Administrar dispositivo MFA), elija U2F security key (Llave de seguridad U2F) y, a continuación, elija Continue (Continuar).

  5. Inserte la llave de seguridad U2F en el puerto USB del equipo.

    
                  Llave de seguridad U2F
  6. Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.

La llave de seguridad U2F está lista para usarse con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.

Habilitar una llave de seguridad U2F para otro usuario de IAM (consola)

Solo puede habilitar una llave de seguridad U2F para otro usuario de IAM desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

Para habilitar una llave de seguridad U2F para otro usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. Seleccione el nombre del usuario para el que quiera habilitar MFA y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).

  4. Al lado de Assigned MFA device (Dispositivo MFA asignado), seleccione Manage (Administrar).

  5. En el asistente Manage MFA device (Administrar dispositivo MFA), elija U2F security key (Llave de seguridad U2F) y, a continuación, elija Continue (Continuar).

  6. Inserte la llave de seguridad U2F en el puerto USB del equipo.

    
            Llave de seguridad U2F
  7. Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.

La llave de seguridad U2F está lista para usarse con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.

Habilitar una llave de seguridad U2F para el usuario raíz de la cuenta de AWS (consola)

Puede configurar y habilitar un dispositivo MFA virtual para su usuario raíz solo desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

Si pierde o le roban la llave de seguridad U2F, o si no funciona, puede iniciar sesión con otros factores de autenticación. Para obtener más información acerca de cómo iniciar sesión con factores de autenticación alternativos, consulte ¿Qué pasa si un dispositivo de MFA se pierde o deja de funcionar?. Para deshabilitar esta característica, póngase en contacto con AWS Support.

Para habilitar la llave U2F para su usuario raíz (consola)

  1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión en la Consola de administración de AWS como Usuario de la cuenta raíz de AWS.

    nota

    Si antes ha iniciado sesión en la consola con las credenciales de usuario de IAM, el navegador podría abrir su página de inicio de sesión específica de la cuenta. No puede utilizar la página de inicio de sesión de usuario de IAM; para iniciar sesión con las credenciales de Usuario de la cuenta raíz de AWS. Si aparece la página de inicio de sesión de usuario de IAM, elija Sign-in using usuario raíz credentials (Iniciar sesión con las credenciales de usuario raíz) cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir la dirección de correo electrónico y la contraseña de su cuenta de AWS.

  2. En la parte derecha de la barra de navegación, elija su nombre de cuenta y seleccione My Security Credentials (Mis credenciales de seguridad). Si es necesario, elija Continue to Security Credentials (Continuar a credenciales de seguridad).

    
                  My Security Credentials (Mis credenciales de seguridad) en el menú de navegación
  3. Expanda la sección Multi-factor authentication (MFA) (Autenticación multifactor [MFA]).

  4. Seleccione Manage MFA (Administrar MFA) o Activate MFA (Activar MFA), en función de la opción que haya elegido en el paso anterior.

  5. En el asistente, elija U2F security key (Llave de seguridad U2F) y, a continuación, seleccione Continue (Continuar).

  6. Inserte la llave de seguridad U2F en el puerto USB del equipo.

    
                  Llave de seguridad U2F
  7. Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.

La llave de seguridad U2F está lista para usarse con AWS. La siguiente vez que utilice sus credenciales de usuario raíz para iniciar sesión, debe pulsar en la llave de seguridad U2F para completar el proceso de inicio de sesión.

Reemplazar una llave de seguridad U2F

Solo puede tener un único dispositivo MFA (virtual, llave de seguridad U2F o físico) asignado a un usuario a la vez. Si el usuario pierde una llave U2F o debe reemplazarla por cualquier motivo, primero debe desactivar la llave U2F antigua. Después, puede añadir un nuevo dispositivo MFA para el usuario.

Si no tiene acceso a una nueva llave de seguridad U2F, puede habilitar un nuevo dispositivo MFA virtual o físico. Consulte una de las siguientes opciones para obtener instrucciones: