Habilitación de una clave de seguridad FIDO (consola) - AWS Identity and Access Management
Permisos necesariosHabilitación de una clave de seguridad FIDO para su propio usuario de IAM (consola)Habilitación de una clave de seguridad FIDO para otro usuario de IAM (consola)Reemplazar una clave de seguridad FIDO

Habilitación de una clave de seguridad FIDO (consola)

Las claves de seguridad FIDO son un tipo de dispositivo de autenticación multifactor (MFA) que puede utilizar para proteger sus recursos de AWS. Conecte su clave de seguridad FIDO a un puerto USB de su ordenador y actívela según las instrucciones siguientes. Después de habilitarla, pulse en ella cuando se le solicite para completar con seguridad el proceso de inicio de sesión. Si ya utiliza una clave de seguridad FIDO con otros servicios y tiene una configuración compatible con AWS (por ejemplo, YubiKey 5 Series de Yubico), también puede utilizarla con AWS. De lo contrario, deberá adquirir una clave de seguridad FIDO si desea utilizar WebAuthn para MFA en AWS. Además, las llaves de seguridad FIDO con compatibles con varios usuarios raíz o de IAM en el mismo dispositivo, lo que mejora su utilidad para la seguridad de las cuentas. Para obtener información sobre las especificaciones y opciones de compra de ambos tipos de dispositivo, consulte Autenticación multifactor. Para obtener información sobre las especificaciones y opciones de compra, consulte Autenticación multifactor.

FIDO2 es un estándar de autenticación abierto y una extensión de FIDO U2F, que ofrece el mismo alto nivel de seguridad basado en la criptografía de clave pública. FIDO2 se compone de la especificación de autenticación web del W3C (WebAuthn API) y del Protocolo de cliente a autenticador (CTAP) de FIDO Alliance, un protocolo de capa de aplicación. El CTAP permite la comunicación entre el cliente o la plataforma, como un navegador o un sistema operativo, con un autenticador externo. Cuando se habilita un autenticador certificado FIDO en AWS, la clave de seguridad FIDO crea un nuevo par de claves para utilizarlo solo con AWS. En primer lugar, introduzca sus credenciales. Cuando se le solicite, toque la clave de seguridad FIDO, que responde al reto de autenticación emitido por AWS. Para obtener más información sobre el estándar FIDO2, consulte FIDO2 Project (Proyecto FIDO2).

Puede registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con el usuario raíz de la Cuenta de AWS y los usuarios de IAM. Con varios dispositivos MFA, solo necesita un dispositivo MFA para iniciar sesión en la AWS Management Console o crear una sesión a través de AWS CLI como ese usuario. Le recomendamos que registre varios dispositivos MFA. Por ejemplo, puede registrar un autenticador integrado y también una clave de seguridad que guarde en un lugar físico seguro. Si no puede utilizar el autenticador integrado, puede utilizar su clave de seguridad registrada. Para las aplicaciones de autenticación, también recomendamos activar la copia de seguridad en la nube o la característica de sincronización en esas aplicaciones para evitar perder el acceso a la cuenta si pierde o se rompe el dispositivo que contiene las aplicaciones de autenticación.

nota

Se recomienda exigir a los usuarios humanos que utilicen credenciales temporales cuando accedan a AWS. Sus usuarios pueden federarse en AWS con un proveedor de identidades donde se autentican con sus credenciales corporativas y configuraciones MFA. Para administrar el acceso a AWS y a las aplicaciones empresariales, le recomendamos que utilice IAM Identity Center. Para más información, consulte la Guía del usuario de IAM Identity Center.

Temas

Permisos necesarios

Para administrar una clave de seguridad FIDO para su propio usuario de IAM mientras protege las acciones confidenciales relacionadas con MFA, debe tener los permisos de la siguiente política:

nota

Los valores de ARN son valores estáticos y no son un indicador de qué protocolo se utilizó para registrar el autenticador. El protocolo U2F está obsoleto, por lo que todas las nuevas implementaciones utilizan WebAuthn.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Habilitación de una clave de seguridad FIDO para su propio usuario de IAM (consola)

Solo puede habilitar una clave de seguridad FIDO para su propio usuario de IAM desde la AWS Management Console, no desde la AWS CLI ni la API de AWS.

nota

Antes de habilitar una clave de seguridad FIDO, debe tener acceso físico al dispositivo.

nota

No debe elegir ninguna de las opciones disponibles en la ventana emergente de Google Chrome que le pide verificar su identidad con amazon.com. Solo tiene que tocar la clave de seguridad.

Para habilitar una clave de seguridad FIDO para su propio usuario de IAM (consola)

  1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

    nota

    Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija Iniciar sesión en otra cuenta cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

    Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

  2. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, Security credentials (Credenciales de seguridad).

    Enlace de credenciales de seguridad de la AWS Management Console

  3. En la pestaña Credenciales de AWS IAM, en la sección Autenticación multifactor (MFA), elija Asignar dispositivo MFA.

  4. En el asistente, escriba un Device name (Nombre del dispositivo), seleccione Security Key (Clave de seguridad) y, a continuación, Next (Siguiente).

  5. Inserte la clave de seguridad FIDO en el puerto USB de su ordenador.

    Clave de seguridad FIDO insertada en un puerto USB

  6. Pulse la clave de seguridad FIDO.

La clave de seguridad FIDO está lista para utilizarse con AWS. Para obtener más información sobre el uso de MFA con la AWS Management Console, consulte Uso de dispositivos MFA con la página de inicio de sesión de IAM.

Habilitación de una clave de seguridad FIDO para otro usuario de IAM (consola)

Solo puede habilitar una clave de seguridad FIDO para otro usuario de IAM desde la AWS Management Console, no desde la AWS CLI ni la API de AWS.

Para habilitar una clave de seguridad FIDO para otro usuario de IAM (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Usuarios.

  3. Elija el nombre del usuario para el que desea activar la MFA.

  4. Elija la pestaña Credenciales de seguridad. En Multi-factor authentication (MFA) (Autenticación multifactor [MFA]), seleccione Assign MFA device (Asignar dispositivo MFA).

  5. En el asistente, escriba un Device name (Nombre del dispositivo), seleccione Security Key (Clave de seguridad) y, a continuación, Next (Siguiente).

  6. Inserte la clave de seguridad FIDO en el puerto USB de su ordenador.

    Clave de seguridad FIDO insertada en un puerto USB

  7. Pulse la clave de seguridad FIDO.

La clave de seguridad FIDO está lista para utilizarse con AWS. Para obtener más información sobre el uso de MFA con la AWS Management Console, consulte Uso de dispositivos MFA con la página de inicio de sesión de IAM.

Reemplazar una clave de seguridad FIDO

Puede tener hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA actualmente compatibles asignados a un usuario a la vez con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Si el usuario pierde un autenticador FIDO o necesita sustituirlo por cualquier motivo, antes debe desactivar el autenticador FIDO antiguo. Después, puede añadir un nuevo dispositivo MFA para el usuario.

Si no tiene acceso a una nueva clave de seguridad FIDO, puede habilitar un nuevo dispositivo MFA virtual o token TOTP de hardware. Consulte una de las siguientes opciones para obtener instrucciones: