Resincronización de dispositivos MFA físicos y virtuales

Puede utilizar AWS para volver a sincronizar sus dispositivos MFA (autenticación multifactor [MFA]) físicos y virtuales. Si el dispositivo no se sincroniza al intentar utilizarlo, el intento de inicio de sesión del usuario dará un error e IAM le pedirá que vuelva a sincronizar el dispositivo.

nota

Las claves de seguridad FIDO no pierden la sincronización. Si una llave de seguridad FIDO se pierde o avería, puede desactivarla. Para obtener instrucciones sobre cómo desactivar cualquier tipo de dispositivo MFA, consulte Para desactivar un dispositivo MFA de otro usuario de IAM (consola).

Como administrador de AWS, puede volver a sincronizar sus dispositivos MFA físicos y virtuales de los usuarios de IAM si pierden la sincronización.

Si el dispositivo MFA de Usuario raíz de la cuenta de AWS no funciona, puede volver a sincronizarlo con la consola de IAM y completar o no el proceso de inicio de sesión. Si no puedes resincronizar correctamente el dispositivo, es posible que tengas que desasociarlo y volver a asociarlo. Para obtener más información acerca de cómo hacerlo, consulte Desactivación de dispositivos MFA y Habilitación de dispositivos MFA para usuarios en AWS.

Permisos necesarios

Para resincronizar dispositivos MFA virtuales o de hardware para su propio usuario de IAM, debe tener los permisos de la siguiente política. Esta política no permite crear ni desactivar un dispositivo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Resincronización de dispositivos MFA físicos y virtuales (consola de IAM)

Puede utilizar la consola de IAM para volver a sincronizar dispositivos de MFA físicos y virtuales.

Para volver a sincronizar un dispositivo MFA físico o virtual para su propio usuario de IAM (consola)

1. Utilice el ID de su cuenta de AWS o el alias de su cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

   nota

   Para su comodidad, la página de inicio de sesión AWS utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ha iniciado sesión anteriormente como un usuario diferente, elija Iniciar sesión en otra cuenta cerca del final de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir su ID de cuenta AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

   Para obtener el ID de la Cuenta de AWS, contacte con su administrador.

2. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, Security credentials (Credenciales de seguridad).

   

3. En la pestaña Credenciales de AWS IAM, en la sección Autenticación multifactor (MFA), elija el botón de opción junto al dispositivo MFA y elija Volver a sincronizar.

4. Escriba los dos códigos generados de forma secuencial desde el dispositivo en MFA code 1 (Código MFA 1) y MFA code 2 (Código MFA 2). Luego, seleccione Resync (Volver a sincronizar).

   importante

   Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y, a continuación, espera demasiado tiempo para enviar la solicitud, la solicitud parece funcionar, pero el dispositivo permanece sin sincronizar. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo.

Para volver a sincronizar un dispositivo MFA físico o virtual para otro usuario de IAM (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Users (Usuarios) y, a continuación, elija el nombre del usuario cuyo dispositivo MFA debe volver a sincronizarse.

3. Seleccione la pestaña de credenciales de seguridad. En la sección Autenticación multifactor (MFA), elija el botón de opción junto al dispositivo MFA y seleccione Volver a sincronizar.

4. Escriba los dos códigos generados de forma secuencial desde el dispositivo en MFA code 1 (Código MFA 1) y MFA code 2 (Código MFA 2). Luego, seleccione Resync (Volver a sincronizar).

   importante

   Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y, a continuación, espera demasiado tiempo para enviar la solicitud, la solicitud parece funcionar, pero el dispositivo permanece sin sincronizar. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo.

Para volver a sincronizar su MFA de usuario raíz antes de iniciar sesión (consola)

1. En la página Inicio de sesión en Amazon Web Services con un dispositivo de autenticación, seleccione ¿Tiene problemas con su dispositivo de autenticación? Click here (Haga clic aquí).

   nota

   Puede ver texto diferente, como, por ejemplo, Iniciar sesión mediante MFA y Solución de problemas con el dispositivo de autenticación. Sin embargo, se proporcionan las mismas características.

2. En la sección Re-Sync With Our Servers (Volver a sincronizar con nuestros servidores), escriba los dos códigos generados de forma secuencial desde el dispositivo en MFA code 1 (Código MFA 1) y MFA code 2 (Código MFA 2). A continuación, seleccione Re-sync authentication device (Volver a sincronizar dispositivo de autenticación).

3. Si es necesario, escriba la contraseña de nuevo y elija Sign in (Iniciar sesión). Finalmente, complete el inicio de sesión con su dispositivo MFA.

Para volver a sincronizar su dispositivo MFA de su usuario raíz tras iniciar sesión (consola)

1. Inicie sesión en la consola de IAM como el propietario de la cuenta; para ello, elija Root user (Usuario raíz) e ingrese el email de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

   nota

   Como usuario raíz, no puede iniciar sesión en la página Iniciar sesión como usuario de IAM. Si aparece la página Iniciar sesión como usuario de IAM, elija Iniciar sesión con el correo electrónico de usuario raíz en la parte inferior de la página. Para obtener ayuda para iniciar sesión como usuario raíz, consulte Inicio de sesión a la AWS Management Console como usuario raíz en la Guía del usuario de AWS Sign-In.

2. En la parte derecha de la barra de navegación, elija su nombre de cuenta y, a continuación, Security credentials (Credenciales de seguridad). Si es necesario, elija Continue to Security Credentials (Seguir en Credenciales de seguridad).

   

3. Expanda la sección Multi-factor authentication (MFA) (Autenticación multifactor [MFA]) en la página.

4. Seleccione el botón de opción situado junto al dispositivo y haga clic en Resync (Volver a sincronizar).

5. En el cuadro de diálogo Resync MFA device (Volver a sincronizar el dispositivo MFA), escriba los dos códigos generados de forma secuencial desde el dispositivo en MFA code 1 (Código MFA 1) y MFA code 2 (Código MFA 2). Luego, seleccione Resync (Volver a sincronizar).

   importante

   Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo.

Resincronización de dispositivos MFA físicos y virtuales (AWS CLI)

Puede volver a sincronizar dispositivos MFA físicos y virtuales con la AWS CLI.

Para volver a sincronizar un dispositivo MFA físico o virtual para un usuario de IAM (AWS CLI)

En una línea de comandos, emita el comando aws iam resync-mfa-device:

• Dispositivo MFA virtual: especifique el nombre de recurso de Amazon (ARN) del dispositivo como el número de serie.

  aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654

• Dispositivo MFA físico: especifique el número de serie del dispositivo físico como el número de serie. El formato es específico del proveedor. Por ejemplo, puede comprar un token Gemalto de Amazon. Su número de serie suele ser de cuatro letras seguidas de cuatro números.

  aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654

importante

Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo para enviar la solicitud, esta dará un error porque los códigos caducan tras un breve intervalo de tiempo.

Resincronización de dispositivos MFA físicos y virtuales (API de AWS)

IAM tiene una llamada a la API que realiza la sincronización. En este caso, le recomendamos que dé permiso a los usuarios de dispositivos MFA físicos y virtuales para obtener acceso a esta llamada a la API. A continuación, debe crear una herramienta basada en esa llamada a la API que permita a sus usuarios volver a sincronizar sus dispositivos siempre que sea necesario.

Para volver a sincronizar un dispositivo MFA físico o virtual para un usuario de IAM (API de AWS)

• Envíe la solicitud ResyncMFADevice.