AWS Identity and Access Management
Guía del usuario

Habilitación de un dispositivo de autenticación multifactor (MFA) virtual (Consola)

Puede utilizar un teléfono u otro dispositivo como dispositivo de autenticación multifactor (MFA) virtual. Para ello, instale una aplicación móvil que cumpla con RFC 6238, un algoritmo TOTP (contraseña de un solo uso basada en el tiempo) basado en estándares. Estas aplicaciones generan un código de autenticación de seis dígitos. Dado que se pueden ejecutar en dispositivos móviles desprotegidos, MFA virtual podría no proporcionar el mismo nivel de seguridad que los dispositivos U2F o los dispositivos de MFA físicos. Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware.

La mayoría de aplicaciones de MFA virtual admiten la creación de varios dispositivos virtuales, lo que le permite utilizar la misma aplicación para varias cuentas o usuarios de AWS. Sin embargo, solo puede habilitar un dispositivo MFA por usuario.

Para obtener una lista de las aplicaciones MFA virtuales que puede utilizar, consulte Autenticación multifactor. Tenga en cuenta que de AWS requiere una aplicación MFA virtual que genere una contraseña de un solo uso (OTP) de seis dígitos.

importante

Cuando configure un dispositivo MFA virtual para que funcione con AWS, recomendamos que guarde una copia del código QR o la clave secreta en un lugar seguro. De ese modo, si pierde el teléfono o tiene que volver a instalar la aplicación de software de MFA por cualquier motivo, puede volver a configurar la aplicación para que utilice la misma MFA virtual. Así evita tener que crear un nuevo dispositivo MFA virtual en AWS para el usuario o el usuario raíz.

Permisos necesarios

Para administrar dispositivos MFA virtuales para su usuario de IAM, debe contar con los permisos de la siguiente política: AWS: permite a los usuarios de IAM autenticados por MFA administrar su propio dispositivo MFA en la página My Security Credentials (Mis credenciales de seguridad).

Habilite un dispositivo MFA virtual para un usuario de IAM (Consola)

Puede utilizar IAM en la Consola de administración de AWS para habilitar y administrar un dispositivo MFA virtual para un usuario de IAM en su cuenta. Para habilitar y administrar un dispositivo MFA utilizando la AWS CLI o la API de AWS, consulte Activación y administración de dispositivos MFA virtuales (AWS CLI o API de AWS).

nota

Debe tener acceso físico al hardware que alojará el dispositivo MFA virtual del usuario para poder configurar la MFA. Por ejemplo, puede configurar MFA para un usuario que use un dispositivo MFA virtual que se ejecute en un smartphone. En ese caso, debe tener el smartphone disponible para completar el asistente. Por este motivo, puede interesarle que los usuarios puedan configurar y administrar sus propios dispositivos MFA virtuales. En ese caso, debe conceder a los usuarios los permisos necesarios para realizar las acciones de IAM necesarias. Para obtener más información y consultar un ejemplo de una política de IAM que conceda dichos permisos, consulte AWS: permite a los usuarios de IAM autenticados por MFA administrar su propio dispositivo MFA en la página My Security Credentials (Mis credenciales de seguridad).

Para habilitar un dispositivo MFA virtual para un usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users.

  3. En la lista User Name (Nombre de usuario), elija el nombre del usuario de MFA previsto.

  4. Seleccione la pestaña de credenciales de seguridad. Al lado de Assigned MFA device (Dispositivo MFA asignado), seleccione Manage (Administrar).

  5. En el asistente Manage MFA Device (Administrar dispositivo MFA), elija Virtual MFA device (Dispositivo MFA virtual) y, a continuación, elija Continue (Continuar).

    IAM generará y mostrará la información de configuración del dispositivo MFA virtual, incluido un gráfico de código QR. El gráfico es una representación de la "clave de configuración secreta" que se puede introducir manualmente en dispositivos que no admiten códigos QR.

  6. Abra su aplicación de MFA virtual. Para ver una lista de las aplicaciones que puede utilizar para alojar dispositivos MFA virtuales, consulte Multi-Factor Authentication.

    Si la aplicación de MFA virtual admite varios dispositivos o cuentas de MFA, elija la opción para crear un nuevo dispositivo o cuenta de MFA virtual.

  7. Determine si la aplicación MFA admite códigos QR y, a continuación, lleve a cabo alguna de las siguientes operaciones:

    • Desde el asistente, elija Show QR code (Mostrar código QR) y, a continuación, utilice la aplicación para escanear el código QR. Por ejemplo, puede elegir el icono de la cámara o una opción similar a Scan code (Escanear código) y, a continuación, utilizar la cámara del dispositivo para escanear el código.

    • En el asistente Manage MFA Device (Administrar dispositivo MFA), elija Show secret key (Mostrar clave secreta) y, a continuación, escriba la clave secreta en su aplicación de MFA.

    Cuando haya terminado, el dispositivo MFA virtual comenzará a generar contraseñas de uso único.

  8. En el asistente Manage MFA Device (Administrar dispositivo MFA), en el cuadro MFA code 1 (Código MFA 1) escriba la contraseña de uso único que aparece actualmente en el dispositivo MFA virtual. Espere hasta 30 segundos a que el dispositivo genere una nueva contraseña de uso único. A continuación, escriba la otra contraseña de uso único en el cuadro MFA code 2 (Código MFA 2). Elija Assign MFA (Asignar MFA).

    importante

    Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

Ahora el dispositivo MFA virtual ya está listo para usarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.

Habilitación de un dispositivo MFA virtual para su usuario raíz de la cuenta de AWS (consola)

Puede utilizar la Consola de administración de AWS para configurar y habilitar un dispositivo MFA virtual para su usuario raíz. Para habilitar dispositivos MFA para la cuenta de AWS, debe haber iniciado sesión en AWS con las credenciales de usuario raíz.

Si su dispositivo de MFA se ha perdido, ha sido robado o no funciona, puede iniciar sesión como usuario raíz con otros factores de autenticación. Si no puede iniciar sesión con su dispositivo MFA, puede hacerlo verificando su identidad con el correo electrónico y teléfono que están registrados en su cuenta. Antes de habilitar MFA para su usuario usuario raíz, revise la configuración de la cuenta y la información de contacto para asegurarse de que tiene acceso al correo electrónico y al número de teléfono. Para obtener más información acerca de cómo iniciar sesión con factores de autenticación alternativos, consulte ¿Qué pasa si un dispositivo de MFA se pierde o deja de funcionar?. Para deshabilitar esta característica, póngase en contacto con AWS Support.

nota

Puede ver texto diferente, como, por ejemplo, Iniciar sesión mediante MFA y Solución de problemas con el dispositivo de autenticación. Sin embargo, se proporcionan las mismas características. En cualquier caso, si no puede verificar la dirección de correo electrónico y el número de teléfono de su cuenta mediante factores de autenticación alternativos, póngase en contacto con AWS Support para desactivar la configuración de MFA.

Para configurar y habilitar un dispositivo MFA virtual para usarlo con su usuario usuario raíz (consola)

  1. Inicie sesión en Consola de administración de AWS.

  2. En la parte derecha de la barra de navegación, elija su nombre de cuenta y seleccione My Security Credentials (Mis credenciales de seguridad). Si es necesario, elija Continue to Security Credentials (Continuar a credenciales de seguridad). A continuación, amplíe la sección Multi-Factor Authentication (MFA) (Autenticación multifactor [MFA]) en la página.

    
                  My Security Credentials (Mis credenciales de seguridad) en el menú de navegación
  3. Elija Activate MFA (Activar MFA).

  4. En el asistente, elija Virtual MFA device (Dispositivo MFA virtual) y, a continuación, seleccione Continue (Continuar).

    IAM generará y mostrará la información de configuración del dispositivo MFA virtual, incluido un gráfico de código QR. El gráfico es una representación de la clave de configuración secreta que se puede introducir manualmente en dispositivos que no admiten códigos QR.

  5. Abra la aplicación de MFA virtual en el dispositivo.

    Si la aplicación de MFA virtual admite varios dispositivos o cuentas de MFA, elija la opción para crear un nuevo dispositivo o cuenta de MFA virtual.

  6. La forma más sencilla de configurar la aplicación consiste en utilizar la aplicación para escanear el código QR. Si no puede analizar el código, puede escribir la información de configuración manualmente. El código QR y la clave de configuración secreta generada por IAM están vinculados a su cuenta de AWS y no se pueden utilizar con otra cuenta. Sin embargo, se pueden volver a utilizar para configurar un dispositivo MFA nuevo para su cuenta en caso de que pierda el acceso al dispositivo MFA original.

    • En el asistente, para utilizar el código QR para configurar el dispositivo MFA virtual, elija Show QR code (Mostrar código QR). A continuación, siga las instrucciones de la aplicación para escanear el código. Por ejemplo, puede que tenga que elegir el icono de la cámara o un comando similar a Scan account barcode (Escanear código de barras) y, a continuación, utilizar la cámara del dispositivo para analizar el código QR.

    • En el asistente Manage MFA Device (Administrar dispositivo MFA), elija Show secret key (Mostrar clave secreta) y, a continuación, escriba la clave secreta en su aplicación de MFA.

    importante

    Haga una copia de seguridad segura del código QR o la clave de configuración secreta, o asegúrese de habilitar varios dispositivos MFA virtuales para su cuenta. Un dispositivo MFA virtual puede dejar de estar disponible si, por ejemplo, pierde el smartphone donde se aloja el dispositivo MFA virtual. Si esto ocurre, no podrá iniciar sesión en su cuenta y tendrá que ponerse en contacto con el servicio de atención al cliente para eliminar la protección de MFA de la cuenta.

    El dispositivo comienza a generar números de seis dígitos.

  7. En el asistente Manage MFA Device (Administrar dispositivo MFA), en el cuadro MFA Code 1 (Código MFA 1), introduzca el número de seis dígitos que el dispositivo MFA muestra actualmente. Espere hasta 30 segundos a que el dispositivo genere un número nuevo y, a continuación, escriba el número de seis dígitos nuevo en el cuadro MFA Code 2 (Código MFA 2).

    importante

    Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede volver a sincronizar el dispositivo.

  8. Elija Assign MFA (Asignar MFA) y, a continuación, elija Finish (Finalizar).

El dispositivo ya está listo para usarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte Uso de dispositivos MFA con la página de inicio de sesión del IAM.

Reemplazar o "rotar" un dispositivo MFA virtual

Solo puede tener un único dispositivo MFA asignado a un usuario a la vez. Si el usuario pierde un dispositivo o debe reemplazarlo por cualquier motivo, primero debe desactivar el antiguo dispositivo. Después, puede añadir el nuevo dispositivo para el usuario.