Autenticación multifactor
Para mayor seguridad, puede agregar la autenticación de dos factores a la cuenta de AWS y a los usuarios de IAM. Con la autenticación multifactor (MFA, por sus siglas en inglés) habilitada, al iniciar sesión en la consola de administración de AWS
Por ejemplo, puede definir una política que permita acceso completo a todas las operaciones de la API de AWS en Amazon EC2, pero denegar explícitamente el acceso a operaciones de la API específicas, como StopInstances
y TerminateInstances
, si el usuario no está autenticado mediante la MFA.
{ “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “AllowAllActionsForEC2”, “Effect”: “Allow”, “Action”: “ec2:*”, “Resource”: “*” }, { “Sid”: “DenyStopAndTerminateWhenMFAIsNotPResent”, “Effect”: “Deny”, “Action”: [ “ec2:StopInstances”, “ec2:TerminateInstances” ], “Resource”: “*”, “Conditions”: { “BoolIfExists”: {“aws:MultiFactorAuthPresent”:false} } } } }
Para añadir una capa adicional de seguridad a los buckets de Amazon S3, puede configurar la eliminación con MFA, que requiere autenticación adicional para cambiar el estado de versiones de un bucket y eliminar permanentemente una versión de objeto. Por lo tanto, la eliminación con MFA refuerza la seguridad en caso de que sus credenciales de seguridad estén en riesgo.
Para usar la eliminación con MFA, puede utilizar hardware o un dispositivo MFA virtual para generar un código de autenticación. Consulte la página Autenticación multifactor