Permisos necesarios Habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)Habilitar una llave de seguridad U2F para otro usuario de IAM (consola)Habilitar una llave de seguridad U2F para el usuario raíz de la cuenta de AWS (consola)Reemplazar una llave de seguridad U2F

Habilitar una llave de seguridad U2F (consola)

Las llaves de seguridad segundo factor universal (U2F) son un tipo de dispositivo MFA que puede utilizar para proteger sus recursos de AWS. Conecte la llave de seguridad U2F a uno de los puertos USB del equipo; para habilitarla, siga las instrucciones que aparecen a continuación. Después de habilitarla, pulse en ella cuando se le solicite para completar con seguridad el proceso de inicio de sesión. Si ya utiliza una llave de seguridad U2F con otros servicios y tiene una configuración admitida por AWS (por ejemplo, Yubikey 4 o 5 de Yubico), también puede usarla con AWS. De no ser así, debe comprar una llave de seguridad U2F si desea utilizar U2F para MFA en AWS. Para obtener información sobre las especificaciones y opciones de compra, consulte Autenticación multifactor.

U2F es un estándar de autenticación alojado por FIDO Alliance. Cuando se habilita una llave U2F en AWS, la llave de seguridad U2F crea un nuevo par de claves de su uso exclusivo con AWS. En primer lugar, introduzca sus credenciales. Cuando se le solicite, pulse en la llave de seguridad U2F, que responde a la solicitud de verificación de autenticación emitida por AWS. Para obtener más información acerca del estándar U2F, consulte segundo factor universal.

Puede habilitar un dispositivo MFA (de cualquier clase) por usuario de IAM o usuario raíz.

Temas

Permisos necesarios
Habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)
Habilitar una llave de seguridad U2F para otro usuario de IAM (consola)
Habilitar una llave de seguridad U2F para el usuario raíz de la cuenta de AWS (consola)
Reemplazar una llave de seguridad U2F
Configuraciones admitidas para utilizar las claves de seguridad U2F

Permisos necesarios

Para administrar una llave de seguridad U2F para su propio usuario de IAM y proteger al mismo tiempo las acciones sensibles relacionadas con MFA, debe contar con los permisos de la siguiente política:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)

Solo puede habilitar una llave de seguridad U2F para su propio usuario de IAM desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

nota

Para poder habilitar una llave de seguridad U2F, debe tener acceso físico al dispositivo.

Para habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)

Utilice el ID o el alias de la cuenta de AWS, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

nota

Para su comodidad, la página de inicio de sesión de AWS utiliza una cookie de navegador para recordar el nombre de usuario de IAM y la información de la cuenta. Si ya ha iniciado sesión con otro nombre de usuario distinto, seleccione Sign in to a different account (Iniciar sesión en una cuenta diferente) cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Aquí podrá escribir su ID de cuenta de AWS; o alias de cuenta para que se le redirija a la página de inicio de sesión de usuario IAM de su cuenta.

Obtener el ID de cuenta de AWS, póngase en contacto con su administrador.
En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, elija My Security Credentials (Mis credenciales de seguridad).
En la pestaña AWS IAM credentials (Credenciales de AWS IAM), en la sección Multi-factor authentication (Autenticación multifactor), elija Manage MFA device (Administrar dispositivo MFA).
En el asistente Manage MFA device (Administrar dispositivo MFA), elija U2F security key (Llave de seguridad U2F) y, a continuación, elija Continue (Continuar).
Inserte la llave de seguridad U2F en el puerto USB del equipo.
Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.

La llave de seguridad U2F está lista para usarse con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.

Habilitar una llave de seguridad U2F para otro usuario de IAM (consola)

Solo puede habilitar una llave de seguridad U2F para otro usuario de IAM desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

Para habilitar una llave de seguridad U2F para otro usuario de IAM (consola)

Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.
En el panel de navegación, seleccione Users.
Seleccione el nombre del usuario para el que quiera habilitar MFA y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).
Al lado de Assigned MFA device (Dispositivo MFA asignado), seleccione Manage (Administrar).
En el asistente Manage MFA device (Administrar dispositivo MFA), elija U2F security key (Llave de seguridad U2F) y, a continuación, elija Continue (Continuar).
Inserte la llave de seguridad U2F en el puerto USB del equipo.
Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.

Habilitar una llave de seguridad U2F para el usuario raíz de la cuenta de AWS (consola)

Puede configurar y habilitar un dispositivo MFA virtual para su usuario raíz solo desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

Si pierde o le roban la llave de seguridad U2F, o si no funciona, puede iniciar sesión con otros factores de autenticación. Para obtener más información acerca de cómo iniciar sesión con factores de autenticación alternativos, consulte ¿Qué pasa si un dispositivo MFA se pierde o deja de funcionar?. Para deshabilitar esta característica, póngase en contacto con AWS Support.

Para habilitar la llave U2F para su usuario raíz (consola)

Inicie sesión en la consola de IAM como el propietario de la cuenta; para ello, elija usuario raíz y escriba su dirección de correo electrónico de la cuenta de AWS. En la siguiente página, escriba su contraseña.

nota

Si ve tres cuadros de texto, significa que inició sesión previamente en la consola con credenciales de usuario de IAM . Es posible que su navegador recuerde esta preferencia y abra esta página de inicio de sesión específica de la cuenta cada vez que intente iniciar sesión. No puede utilizar la página de inicio de sesión del usuario de IAM para iniciar sesión como propietario de la cuenta. Si ve la página de inicio de sesión del usuario de IAM, seleccione Iniciar sesión con el correo electrónico usuario raíz cerca de la parte inferior de la página. Esto le devuelve a la página principal de inicio de sesión. Desde allí, puede iniciar sesión como usuario raíz usando su dirección de correo electrónico y contraseña de AWS.
En la parte derecha de la barra de navegación, elija su nombre de cuenta y seleccione My Security Credentials (Mis credenciales de seguridad). Si es necesario, elija Continue to Security Credentials (Continuar a credenciales de seguridad).
Expanda la sección Multi-factor authentication (MFA) (Autenticación multifactor [MFA]).
Seleccione Manage MFA (Administrar MFA) o Activate MFA (Activar MFA), en función de la opción que haya elegido en el paso anterior.
En el asistente, elija U2F security key (Llave de seguridad U2F) y, a continuación, seleccione Continue (Continuar).
Inserte la llave de seguridad U2F en el puerto USB del equipo.
Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.

La llave de seguridad U2F está lista para usarse con AWS. La siguiente vez que utilice sus credenciales de usuario raíz para iniciar sesión, debe pulsar en la llave de seguridad U2F para completar el proceso de inicio de sesión.

Reemplazar una llave de seguridad U2F

Solo puede tener un único dispositivo MFA (virtual, llave de seguridad U2F o físico) asignado a un usuario a la vez. Si el usuario pierde una llave U2F o debe reemplazarla por cualquier motivo, primero debe desactivar la llave U2F antigua. Después, puede añadir un nuevo dispositivo MFA para el usuario.

Para desactivar el dispositivo que tenga asociado actualmente a un usuario, consulte Desactivación de dispositivos MFA.
Para añadir una nueva llave de seguridad U2F para un usuario de IAM, consulte Habilitar una llave de seguridad U2F (consola).

Si no tiene acceso a una nueva llave de seguridad U2F, puede habilitar un nuevo dispositivo MFA virtual o físico. Consulte una de las siguientes opciones para obtener instrucciones:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitación de un dispositivo de MFA virtual (consola)

Configuraciones admitidas para utilizar las claves de seguridad U2F