AWS Identity and Access Management
Guía del usuario

Resincronización de dispositivos MFA físicos y virtuales

Puede utilizar AWS para volver a sincronizar sus dispositivos MFA (autenticación multifactor) físicos y virtuales. Si el dispositivo no se sincroniza al intentar usarlo, el intento de inicio de sesión del usuario dará un error e IAM le pedirá que vuelva a sincronizar el dispositivo.

nota

Las llaves de seguridad U2F no pierden la sincronización. Si una llave de seguridad U2F se pierde o avería, puede desactivarla. Para obtener instrucciones sobre cómo desactivar cualquier tipo de dispositivo MFA, consulte Para desactivar un dispositivo MFA de otro usuario de IAM (consola).

Como administrador de AWS, puede volver a sincronizar sus dispositivos MFA físicos y virtuales de los usuarios de IAM si pierden la sincronización.

Si el dispositivo MFA de su Usuario de la cuenta raíz de AWS no funciona, puede volver a sincronizarlo con la consola de IAM completando o sin completar el proceso de inicio de sesión.

Permisos necesarios

Para volver a sincronizar dispositivos MFA físicos o virtuales para su propio usuario de IAM, debe contar con los permisos de la siguiente política. Esta política no permite crear o desactivar un dispositivo.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowListActions", "Effect": "Allow", "Action": [ "iam:ListVirtualMFADevices" ], "Resource": "*" }, { "Sid": "AllowUserToViewAndManageTheirOwnUserMFA", "Effect": "Allow", "Action": [ "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "BlockAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Resincronización de dispositivos MFA físicos y virtuales (consola de IAM)

Puede utilizar la consola de IAM para volver a sincronizar dispositivos de MFA físicos y virtuales.

Para volver a sincronizar un dispositivo MFA físico o virtual para su propio usuario de IAM (consola)

  1. Utilice su ID de cuenta de AWS o alias de cuenta, el nombre de usuario de IAM y la contraseña para iniciar sesión en la consola de IAM.

    nota

    Para su comodidad, la página de inicio de sesión de AWS utiliza una cookie de navegador para recordar el nombre de usuario de IAM y la información de la cuenta. Si ya ha iniciado sesión con otro nombre de usuario distinto, elija Sign in to a different account cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Aquí podrá escribir su ID de cuenta de AWS o alias de cuenta para que se le redirija a la página de inicio de sesión de usuario IAM de su cuenta.

    Obtener el ID de cuenta de AWS, póngase en contacto con su administrador.

  2. En la esquina superior derecha de la barra de navegación, elija su nombre de usuario y, a continuación, elija My Security Credentials (Mis credenciales de seguridad).

    
                  Enlace My Security Credentials de la consola de administración de AWS
  3. En la pestaña AWS IAM credentials (Credenciales de AWS IAM), en la sección Multi-factor authentication (Autenticación multifactor), elija Manage MFA device (Administrar dispositivo MFA).

  4. En el asistente Manage MFA device (Administrar dispositivo MFA), elija Resync (Volver a sincronizar) y, a continuación, elija Continue (Continuar).

  5. Escriba los dos códigos generados de forma secuencial desde el dispositivo en MFA code 1 (Código MFA 1) y MFA code 2 (Código MFA 2). Después elija Continue.

    importante

    Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y, a continuación, espera demasiado tiempo para enviar la solicitud, la solicitud parece funcionar, pero el dispositivo permanece sin sincronizar. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo.

Para volver a sincronizar un dispositivo MFA físico o virtual para otro usuario de IAM (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users (Usuarios) y, a continuación, elija el nombre del usuario cuyo dispositivo MFA debe volver a sincronizarse.

  3. Seleccione la pestaña de credenciales de seguridad. Al lado de Assigned MFA device (Dispositivo MFA asignado), seleccione Manage (Administrar).

  4. En el asistente Manage MFA device (Administrar dispositivo MFA), elija Resync (Volver a sincronizar) y, a continuación, elija Continue (Continuar).

  5. Escriba los dos códigos generados de forma secuencial desde el dispositivo en MFA code 1 (Código MFA 1) y MFA code 2 (Código MFA 2). Después elija Continue.

    importante

    Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y, a continuación, espera demasiado tiempo para enviar la solicitud, la solicitud parece funcionar, pero el dispositivo permanece sin sincronizar. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo.

Para volver a sincronizar su MFA de usuario raíz antes de iniciar sesión (consola)

  1. En la página Amazon Web Services Sign In With Authentication Device (Inicio de sesión en Amazon Web Services con un dispositivo de autenticación), seleccione Having problems with your authentication device? Click here (¿Problemas con el dispositivo de autenticación? Haga clic aquí).

    nota

    Puede ver texto diferente, como, por ejemplo, Iniciar sesión mediante MFA y Solución de problemas con el dispositivo de autenticación. Sin embargo, se proporcionan las mismas características.

  2. En la sección Re-Sync With Our Servers (Volver a sincronizar con nuestros servidores), escriba los dos códigos generados de forma secuencial desde el dispositivo en MFA code 1 (Código MFA 1) y MFA code 2 (Código MFA 2). A continuación, seleccione Re-sync authentication device (Volver a sincronizar dispositivo de autenticación).

  3. Si es necesario, escriba la contraseña de nuevo y elija Sign in (Iniciar sesión). Finalmente, complete el inicio de sesión con su dispositivo MFA.

Para volver a sincronizar su dispositivo MFA de usuario raíz tras iniciar sesión (consola)

  1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión en la Consola de administración de AWS como Usuario de la cuenta raíz de AWS.

    nota

    Si antes ha iniciado sesión en la consola con las credenciales de usuario de IAM, el navegador podría abrir su página de inicio de sesión específica de la cuenta. No puede utilizar la página de inicio de sesión de usuario de IAM; para iniciar sesión con las credenciales de Usuario de la cuenta raíz de AWS. Si aparece la página de inicio de sesión de usuario de IAM, elija Sign-in using usuario raíz credentials (Iniciar sesión con las credenciales de usuario raíz) cerca de la parte inferior de la página para volver a la página principal de inicio de sesión. Desde allí, puede escribir la dirección de correo electrónico y la contraseña de su cuenta de AWS.

  2. En la parte derecha de la barra de navegación, elija su nombre de cuenta y seleccione My Security Credentials (Mis credenciales de seguridad). Si es necesario, elija Continue to Security Credentials (Continuar a credenciales de seguridad).

    
                  My Security Credentials (Mis credenciales de seguridad) en el menú de navegación
  3. Expanda la sección Multi-factor authentication (MFA) (Autenticación multifactor [MFA]) en la página.

  4. Junto a su dispositivo MFA activo, seleccione Resync (Volver a sincronizar).

  5. En el cuadro de diálogo Manage MFA device (Administrar dispositivos MFA), escriba los dos códigos generados de forma secuencial desde el dispositivo en MFA code 1 (Código MFA 1) y MFA code 2 (Código MFA 2). Después elija Continue.

    importante

    Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas de un solo uso basadas en el tiempo (TOTP) caducan tras un corto periodo de tiempo.

Resincronización de dispositivos MFA físicos y virtuales (AWS CLI)

Puede volver a sincronizar dispositivos MFA físicos y virtuales con la AWS CLI.

Para volver a sincronizar un dispositivo MFA físico o virtual para un usuario de IAM (AWS CLI)

En el símbolo del sistema, ejecute el comando aws iam resync-mfa-device:

  • Dispositivo MFA virtual: especifique el nombre de recurso de Amazon (ARN) del dispositivo como el número de serie.

    $ aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code-1 123456 --authentication-code-2 987654
  • Dispositivo MFA físico: especifique el número de serie del dispositivo físico como el número de serie. El formato es específico del proveedor. Por ejemplo, puede comprar un token Gemalto de Amazon. Su número de serie suele ser de cuatro letras seguidas de cuatro números.

    $ aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code-1 123456 --authentication-code-2 987654

importante

Envíe su solicitud inmediatamente después de generar los códigos. Si genera los códigos y después espera demasiado tiempo para enviar la solicitud, esta dará un error porque los códigos caducan tras un breve intervalo de tiempo.

Resincronización de dispositivos MFA físicos y virtuales (API de AWS)

IAM tiene una llamada a la API que realiza la sincronización. En este caso, le recomendamos que dé permiso a los usuarios de dispositivos MFA físicos y virtuales para obtener acceso a esta llamada a la API. A continuación, debe crear una herramienta basada en esa llamada a la API que permita a sus usuarios volver a sincronizar sus dispositivos siempre que sea necesario.

Para volver a sincronizar un dispositivo MFA físico o virtual para un usuario de IAM (API de AWS)