Activation d'un dispositif MFA physique (console) - AWS Identity and Access Management

Activation d'un dispositif MFA physique (console)

Le dispositif MFA matériel génère un code numérique à six chiffres basé sur un algorithme de mot de passe unique synchronisé. L'utilisateur doit saisir un code valide à partir du périphérique lorsqu'il y est invité lors de la connexion. Chaque dispositif MFA attribué à un utilisateur doit être unique ; un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier.

Les dispositifs MFA matériels et les clés de sécurité U2F sont des périphériques physiques que vous achetez. La différence est que les dispositifs MFA matériels génèrent un code qui vous affichez, puis saisissez lorsque vous y êtes invité lors de la connexion à AWS. Avec une clé de sécurité U2F, vous ne voyez pas ou ne saisissez pas de code d'authentification. Au lieu de cela, la clé de sécurité U2F génère une réponse sans la présenter à l'utilisateur et le service la valide. Pour connaître les spécifications et les informations d'achat de ces deux types d'apareils, consultez Authentification multi-facteurs.

Vous pouvez activer un dispositif MFA matériel pour un utilisateur IAM à partir de la AWS Management Console, de la ligne de commande ou de l'API IAM. Pour activer un dispositif MFA pour votre utilisateur racine Compte AWS , consultez Activation d'un dispositif MFA matériel pour l'utilisateur racine du compte AWS (console).

Vous pouvez activer un seul dispositif MFA (de n'importe quel type) par utilisateur racine ou utilisateur IAM.

Note

Si vous souhaitez activer le périphérique dans la ligne de commande, utilisez iam-userenablemfadevice aws iam enable-mfa-device. Pour activer le dispositif MFA avec l'API IAM, utilisez l'opération EnableMFADevice.

Autorisations nécessaires

Pour gérer un dispositif MFA matériel pour votre propre utilisateur IAM tout en protégeant les actions sensibles liées à MFA, vous devez disposer des autorisations de la politique suivante :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Activation d'un dispositif MFA matériel pour votre propre utilisateur IAM (console)

Vous pouvez activer votre propre dispositif MFA matériel depuis la section AWS Management Console.

Note

Avant d'activer un dispositif MFA matériel, vous devez y avoir accès physiquement.

Pour activer un dispositif MFA matériel pour votre propre utilisateur IAM (console)

  1. Utilisez votre ID ou alias de compte AWS, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console IAM.

    Note

    Pour plus de commodité, la page de connexion à AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, choisissez Se connecter à un compte différent en bas de la page pour revenir à la page de connexion principale. Sur cette page, vous pouvez saisir votre ID ou alias de compte AWS pour être redirigé vers la page de connexion de l'utilisateur IAM de votre compte.

    Pour obtenir votre ID de compte AWS, contactez votre administrateur.

  2. Dans la barre de navigation en haut à droite, choisissez votre nom d'utilisateur, puis My Security Credentials (Mes informations d'identification de sécurité).

    
                  Lien My Security Credentials (Mes informations d'identification de sécurité) de la Console de gestion AWS
  3. Dans l'onglet AWS IAM credentials (Informations d'identification AWS IAM), sous la section Multi-factor authentication (Authentification multi-facteur), sélectionnez Manage MFA device (Gérer le dispositif MFA).

  4. Dans l'assistant Manage MFA device (Gérer le dispositif MFA), sélectionnez Hardware MFA device (Dispositif MFA matériel), puis Continue (Continuer).

  5. Saisissez le numéro de série du périphérique. Le numéro de série se situe généralement l'arrière du périphérique.

  6. Dans la zone MFA code 1, saisissez le code à six chiffres qui s'affichent sur le dispositif MFA. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.

    
                  Tableau de bord IAM, dispositif MFA
  7. Attendez 30 secondes que le périphérique actualise le code, puis saisissez la nouvelle série de six chiffres dans la zone MFA code 2. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.

  8. Choisissez Assign MFA (Affecter le MFA).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le périphérique.

Le périphérique est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'AWS Management Console, consultez Utilisation de dispositifs MFA avec votre page de connexion IAM.

Activation d'un dispositif MFA matériel pour un autre utilisateur IAM (console)

Vous pouvez activer un dispositif MFA matériel pour un autre utilisateur IAM depuis la section AWS Management Console.

Pour activer un dispositif MFA matériel pour un autre utilisateur IAM (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Users.

  3. Sélectionnez le nom de l'utilisateur pour lequel vous voulez activer le périphérique MFA, puis accédez à l'onglet Security credentials (Informations d'identification de sécurité).

  4. En regard de Assigned MFA device (Dispositif MFA affecté), choisissez Manage (Gérer).

  5. Dans l'assistant Manage MFA device (Gérer le dispositif MFA), sélectionnez Hardware MFA device (Dispositif MFA matériel), puis Continue (Continuer).

  6. Saisissez le numéro de série du périphérique. Le numéro de série se situe généralement l'arrière du périphérique.

  7. Dans la zone MFA code 1, saisissez le code à six chiffres qui s'affichent sur le dispositif MFA. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.

    
            Tableau de bord IAM, dispositif MFA
  8. Attendez 30 secondes que le périphérique actualise le code, puis saisissez la nouvelle série de six chiffres dans la zone MFA code 2. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.

  9. Choisissez Assign MFA (Affecter le MFA).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le périphérique.

Le périphérique est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'AWS Management Console, consultez Utilisation de dispositifs MFA avec votre page de connexion IAM.

Activation d'un dispositif MFA matériel pour l'utilisateur racine du compte AWS (console)

Vous pouvez configurer et activer un dispositif MFA virtuel pour votre utilisateur racine à partir de la section AWS Management Console uniquement, et pas à partir de l'API AWS CLI ou AWS.

Si votre dispositif MFA est perdu, volé ou s'il cesse de fonctionner, vous pouvez toujours vous connecter à l'aide d'autres facteurs d'authentification. Si vous ne pouvez pas vous connecter avec votre dispositif MFA, vous pouvez vous connecter en confirmant votre identité à l'aide de l'adresse e-mail et du numéro de téléphone qui sont enregistrés dans votre compte. Avant d'activer l'authentification multi-facteurs pour votre utilisateur racine, vérifiez les paramètres de votre compte et les informations de contact pour vous assurer que vous avez accès à l'adresse e-mail et au numéro de téléphone. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez Que faire si un dispositif MFA est perdu ou cesse de fonctionner ?. Pour désactiver cette fonction, contactez AWS Support.

Note

Il se peut que vous constatiez des textes différents, tels que Se connecter à l'aide de MFA et Dépanner votre appareil d'authentification. Toutefois, les mêmes fonctions sont fournies. Dans ces deux cas, si vous ne pouvez pas vérifier l'adresse e-mail et le numéro de téléphone de votre compte à l'aide d'autres facteurs d'authentification, contactez AWS Support pour désactiver votre paramètre MFA.

Pour activer le dispositif MFA pour votre utilisateur racine (console)

  1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Root user (Utilisateur racine) et en saisissant l'adresse e-mail de votre Compte AWS . Sur la page suivante, saisissez votre mot de passe.

    Note

    Si trois zones de texte s'affichent, vous vous êtes déjà connecté à la console avec les informations d'identification d'utilisateur . Votre navigateur peut mémoriser cette préférence et ouvrir cette page de connexion spécifique au compte chaque fois que vous essayez de vous connecter. Vous ne pouvez pas utiliser la page de connexion d'utilisateur pour vous connecter en tant que propriétaire du compte. Si la page de connexion d'utilisateur IAM s'affiche, choisissez Se connecter à l'aide de la messagerie utilisateur racine en bas de la page. Vous êtes alors redirigé vers la page de connexion principale. Sur cette page, vous pouvez vous connecter en tant qu'utilisateur racine, en utilisant votre adresse e-mail et le mot de passe Compte AWS .

  2. À droite de la barre de navigation, sélectionnez le nom de votre compte, puis My Security Credentials (Mes informations d'identification de sécurité). Au besoin, choisissez Passer aux informations d'identification de sécurité.

    
                  Mes informations d'identification de sécurité dans le menu de navigation
  3. Développez la section Multi-factor authentication (MFA) (Authentification multi-facteurs (MFA)).

  4. Choisissez Gérer MFA ou Activer MFA, en fonction de l'option choisie à l'étape précédente.

  5. Dans l'assistant, choisissez Dispositif MFA matériel, puis Continuer.

  6. Dans la zone Numéro de série, saisissez le numéro de série qui se trouve à l'arrière du dispositif MFA.

  7. Dans la zone MFA code 1, saisissez le code à six chiffres qui s'affichent sur le dispositif MFA. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.

    
                  Tableau de bord IAM, dispositif MFA
  8. Attendez 30 secondes que le périphérique actualise le code, puis saisissez la nouvelle série de six chiffres dans la zone MFA code 2. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.

  9. Choisissez Assign MFA (Affecter le MFA). Le dispositif MFA est à présent associé au compte AWS.

    Important

    Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le périphérique.

    La prochaine fois que vous utiliserez les informations d'identification d'utilisateur racine, vous devrez saisir un code du dispositif MFA.

Remplacer un dispositif MFA physique ou le soumettre à une « rotation »

Vous pouvez disposer d'un seul dispositif MFA attribué à un utilisateur à la fois. Si l'utilisateur perd un périphérique ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l'ancien périphérique. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.