Habilitar una llave de seguridad U2F (consola)
Las llaves de seguridad segundo factor universal (U2F) son un tipo de dispositivo MFA que puede utilizar para proteger sus recursos de AWS. Conecte la llave de seguridad
U2F a uno de los puertos USB del equipo; para habilitarla, siga las instrucciones
que aparecen a continuación. Después de habilitarla, pulse en ella cuando se le solicite
para completar con seguridad el proceso de inicio de sesión. Si ya utiliza una llave
de seguridad U2F con otros servicios y tiene una configuración admitida por AWS (por ejemplo, Yubikey 4 o 5 de Yubico), también puede usarla con AWS. De no ser así,
debe comprar una llave de seguridad U2F si desea utilizar U2F para MFA en AWS. Para
obtener información sobre las especificaciones y opciones de compra, consulte Autenticación multifactor
U2F es un estándar de autenticación alojado por FIDO Alliance
Puede habilitar un dispositivo MFA (de cualquier clase) por usuario de IAM o usuario raíz.
Temas
- Permisos necesarios
- Habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)
- Habilitar una llave de seguridad U2F para otro usuario de IAM (consola)
- Habilitar una llave de seguridad U2F para el usuario raíz de la cuenta de AWS (consola)
- Reemplazar una llave de seguridad U2F
- Configuraciones admitidas para utilizar las claves de seguridad U2F
Permisos necesarios
Para administrar una llave de seguridad U2F para su propio usuario de IAM y proteger al mismo tiempo las acciones sensibles relacionadas con MFA, debe contar con los permisos de la siguiente política:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }
Habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)
Solo puede habilitar una llave de seguridad U2F para su propio usuario de IAM desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.
Para poder habilitar una llave de seguridad U2F, debe tener acceso físico al dispositivo.
Para habilitar una llave de seguridad U2F para su propio usuario de IAM (consola)
-
Utilice el ID o el alias de la cuenta de AWS, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM
. nota Para su comodidad, la página de inicio de sesión de AWS utiliza una cookie de navegador para recordar el nombre de usuario de IAM y la información de la cuenta. Si ya ha iniciado sesión con otro nombre de usuario distinto, seleccione Sign in to a different account (Iniciar sesión en una cuenta diferente) cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Aquí podrá escribir su ID de cuenta de AWS; o alias de cuenta para que se le redirija a la página de inicio de sesión de usuario IAM de su cuenta.
Obtener el ID de cuenta de AWS, póngase en contacto con su administrador.
-
En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, elija My Security Credentials (Mis credenciales de seguridad).
-
En la pestaña AWS IAM credentials (Credenciales de AWS IAM), en la sección Multi-factor authentication (Autenticación multifactor), elija Manage MFA device (Administrar dispositivo MFA).
-
En el asistente Manage MFA device (Administrar dispositivo MFA), elija U2F security key (Llave de seguridad U2F) y, a continuación, elija Continue (Continuar).
-
Inserte la llave de seguridad U2F en el puerto USB del equipo.
-
Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.
La llave de seguridad U2F está lista para usarse con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.
Habilitar una llave de seguridad U2F para otro usuario de IAM (consola)
Solo puede habilitar una llave de seguridad U2F para otro usuario de IAM desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.
Para habilitar una llave de seguridad U2F para otro usuario de IAM (consola)
-
Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Users.
-
Seleccione el nombre del usuario para el que quiera habilitar MFA y, a continuación, elija la pestaña Security credentials (Credenciales de seguridad).
-
Al lado de Assigned MFA device (Dispositivo MFA asignado), seleccione Manage (Administrar).
-
En el asistente Manage MFA device (Administrar dispositivo MFA), elija U2F security key (Llave de seguridad U2F) y, a continuación, elija Continue (Continuar).
-
Inserte la llave de seguridad U2F en el puerto USB del equipo.
-
Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.
La llave de seguridad U2F está lista para usarse con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.
Habilitar una llave de seguridad U2F para el usuario raíz de la cuenta de AWS (consola)
Puede configurar y habilitar un dispositivo MFA virtual para su usuario raíz solo desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.
Si pierde o le roban la llave de seguridad U2F, o si no funciona, puede iniciar sesión
con otros factores de autenticación. Para obtener más información acerca de cómo iniciar
sesión con factores de autenticación alternativos, consulte ¿Qué pasa si un dispositivo MFA se pierde o deja de funcionar?. Para deshabilitar esta característica, póngase en contacto con AWS Support
Para habilitar la llave U2F para su usuario raíz (consola)
-
Inicie sesión en la consola de IAM
como el propietario de la cuenta; para ello, elija usuario raíz y escriba su dirección de correo electrónico de la cuenta de AWS. En la siguiente página, escriba su contraseña. nota Si ve tres cuadros de texto, significa que inició sesión previamente en la consola con credenciales de usuario de IAM . Es posible que su navegador recuerde esta preferencia y abra esta página de inicio de sesión específica de la cuenta cada vez que intente iniciar sesión. No puede utilizar la página de inicio de sesión del usuario de IAM para iniciar sesión como propietario de la cuenta. Si ve la página de inicio de sesión del usuario de IAM, seleccione Iniciar sesión con el correo electrónico usuario raíz cerca de la parte inferior de la página. Esto le devuelve a la página principal de inicio de sesión. Desde allí, puede iniciar sesión como usuario raíz usando su dirección de correo electrónico y contraseña de AWS.
-
En la parte derecha de la barra de navegación, elija su nombre de cuenta y seleccione My Security Credentials (Mis credenciales de seguridad). Si es necesario, elija Continue to Security Credentials (Continuar a credenciales de seguridad).
-
Expanda la sección Multi-factor authentication (MFA) (Autenticación multifactor [MFA]).
-
Seleccione Manage MFA (Administrar MFA) o Activate MFA (Activar MFA), en función de la opción que haya elegido en el paso anterior.
-
En el asistente, elija U2F security key (Llave de seguridad U2F) y, a continuación, seleccione Continue (Continuar).
-
Inserte la llave de seguridad U2F en el puerto USB del equipo.
-
Pulse en la llave de seguridad U2F y, a continuación, elija Close (Cerrar) cuando se haya completado la configuración de U2F.
La llave de seguridad U2F está lista para usarse con AWS. La siguiente vez que utilice sus credenciales de usuario raíz para iniciar sesión, debe pulsar en la llave de seguridad U2F para completar el proceso de inicio de sesión.
Reemplazar una llave de seguridad U2F
Solo puede tener un único dispositivo MFA (virtual, llave de seguridad U2F o físico) asignado a un usuario a la vez. Si el usuario pierde una llave U2F o debe reemplazarla por cualquier motivo, primero debe desactivar la llave U2F antigua. Después, puede añadir un nuevo dispositivo MFA para el usuario.
-
Para desactivar el dispositivo que tenga asociado actualmente a un usuario, consulte Desactivación de dispositivos MFA.
-
Para añadir una nueva llave de seguridad U2F para un usuario de IAM, consulte Habilitar una llave de seguridad U2F (consola).
Si no tiene acceso a una nueva llave de seguridad U2F, puede habilitar un nuevo dispositivo MFA virtual o físico. Consulte una de las siguientes opciones para obtener instrucciones: