AWS Identity and Access Management
Guide de l'utilisateur

Activation d'un périphérique Multi-Factor Authentication (MFA) virtuel (Console)

Vous pouvez utiliser un appareil mobile, tel qu'un smartphone ou une tablette, comme périphérique d'authentification multi-facteurs (MFA) virtuel. Pour ce faire, installez une application mobile AWS prises en charge qui génère un code d'authentification à six chiffres. Comme ces applications peuvent s'exécuter sur des appareils mobiles non sécurisés, elles risquent de ne pas offrir le même niveau de sécurité que les appareils U2F ou les appareils MFA matériels. Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel.

La plupart des applications mobiles MFA virtuelles prennent en charge la création de plusieurs périphériques virtuels, ce qui vous permet d'utiliser la même application pour plusieurs comptes ou utilisateurs AWS. Cependant, vous ne pouvez activer qu'un seul périphérique MFA par utilisateur.

Pour obtenir la liste des applications virtuelles MFA que vous pouvez utiliser sur les smartphones ou les tablettes, consultez Authentification multi-facteurs.) Notez que AWS nécessite une application MFA virtuelle générant un code OTP à six chiffres.

Important

Lorsque vous configurez un périphérique MFA virtuel pour l'utiliser avec AWS, nous vous recommandons d'enregistrer une copie du code QR ou de la clé secrète dans un emplacement sécurisé. De cette manière, si vous perdez le téléphone ou si vous devez réinstaller l'application logicielle MFA pour une raison quelconque, vous pouvez reconfigurer l'application de sorte qu'elle utilise le même MFA virtuel. Cela évite d'avoir à créer une nouvelle clé MFA virtuelle dans AWS pour l'utilisateur ou l'utilisateur racine.

Autorisations nécessaires

Pour gérer des périphériques MFA virtuels pour votre utilisateur IAM, vous devez disposer des autorisations de la stratégie suivante : AWS : Autorise les utilisateurs IAM authentifiés par MFA à gérer leur périphérique MFA sur la page My Security Credentials (Mes informations d'identification de sécurité).

Activation d'un périphérique MFA virtuel pour un utilisateur IAM (Console)

Vous pouvez utiliser IAM dans AWS Management Console pour activer et gérer un périphérique MFA virtuel pour un utilisateur IAM de votre compte. Pour activer et gérer un périphérique MFA à l'aide de l'AWS CLI ou de l'API AWS, consultez Activation et gestion des périphériques MFA virtuels (AWS CLI ou API AWS).

Note

Pour configurer l'authentification MFA, vous devez avoir accès physique au matériel sur lequel le périphérique MFA virtuel de l'utilisateur est hébergé. Par exemple, vous pouvez configurer le MFA pour un utilisateur qui utilisera un appareil MFA virtuel s'exécutant sur un smartphone. Dans ce cas, vous devez avoir le smartphone à proximité afin de finaliser l'assistant. De ce fait, vous pouvez préférer laisser les utilisateurs configurer et gérer leurs propres périphériques MFA virtuels. Dans ce cas, vous devez accorder aux utilisateurs l'autorisation d'exécuter les actions IAM nécessaires. Pour en savoir plus sur la stratégie IAM qui accorde ces autorisations et pour accéder à un exemple, consultez AWS : Autorise les utilisateurs IAM authentifiés par MFA à gérer leur périphérique MFA sur la page My Security Credentials (Mes informations d'identification de sécurité).

Pour activer un périphérique MFA virtuel pour un utilisateur IAM (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Users (Utilisateurs).

  3. Dans la liste Nom d'utilisateur, choisissez le nom utilisateur MFA prévu.

  4. Choisissez l'onglet Informations d'identification de sécurité. En regard de Assigned MFA device (Appareil MFA affecté), choisissez Manage (Gérer).

  5. Dans l'assistant Gérer l'appareil MFA, choisissez Appareil MFA virtuel, puis Continuer.

    IAM génère et affiche les informations de configuration du périphérique MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre application MFA virtuelle. (Pour obtenir une liste des applications que vous pouvez utiliser pour héberger des appareils MFA virtuels, consultez Authentification multi-facteurs.) Si l'application MFA virtuelle prend en charge plusieurs comptes (plusieurs périphériques MFA virtuels), choisissez l'option permettant de créer un compte (un nouveau périphérique MFA virtuel).

  7. Déterminez si l'application MFA prend en charge les codes QR, puis effectuez l'une des actions suivantes :

    • Dans l'assistant, choisissez Show QR code (Afficher le code QR), puis utiliser l'application pour analyser le code QR. Par exemple, vous pouvez choisir l'icône de caméra ou une option similaire à Scan code, puis utiliser la caméra du périphérique pour analyser le code.

    • Dans l'assistant Gérer l'appareil MFA, choisissez Afficher la clé secrète pour la configuration manuelle, puis saisissez la clé secrète dans votre application MFA.

    Une fois que vous avez terminé, le périphérique MFA virtuel commence à générer des mots de passe uniques.

  8. Dans l'assistant Gérer l'appareil MFA, dans la zone MFA Code 1 (Code MFA 1), saisissez le mot de passe unique qui s'affiche actuellement sur le périphérique MFA virtuel. Attendez jusqu'à 30 secondes pour que le périphérique génère un nouveau mot de passe unique. Saisissez ensuite le second mot de passe unique dans la zone MFA Code 2 (Code MFA 2). Choisissez Assign MFA (Affecter le MFA).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le périphérique MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le périphérique.

Le périphérique MFA virtuel est maintenant prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'AWS Management Console, consultez Utilisation de périphériques MFA avec votre page de connexion IAM.

Activer un périphérique MFA virtuel pour l'utilisateur racine de votre compte AWS (Console)

Vous pouvez utiliser la AWS Management Console pour configurer et activer un périphérique MFA virtuel pour votre utilisateur racine. Pour activer des périphériques MFA pour le compte AWS, vous devez être connecté à AWS à l'aide des informations d'identification d'utilisateur racine. Vous ne pouvez pas activer un appareil MFA pour Utilisateur racine d'un compte AWS dans la console IAM ou avec l'AWS CLI, l'API AWS, Outils pour Windows PowerShell ou tout autre outil de ligne de commande..

Si votre périphérique MFA est perdu, volé ou s'il cesse de fonctionner, vous pouvez toujours vous connecter à l'aide d'autres facteurs d'authentification. Si vous ne pouvez pas vous connecter avec votre périphérique MFA, vous pouvez vous connecter en confirmant votre identité à l'aide de l'adresse e-mail et du numéro de téléphone qui sont enregistrés dans votre compte. Avant d'activer MFA pour votre utilisateur racine, vérifiez les paramètres de votre compte et les informations de contact pour vous assurer que vous avez accès à l'adresse e-mail et au numéro de téléphone. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez Que faire si un périphérique MFA est perdu ou cesse de fonctionner ?. Pour désactiver cette fonction, contactez AWS Support.

Note

Il se peut que vous constatiez des textes différents, tels que Se connecter à l'aide de MFA et Dépanner votre appareil d'authentification. Toutefois, les mêmes fonctions sont fournies. Dans ces deux cas, si vous ne pouvez pas vérifier l'adresse e-mail et le numéro de téléphone de votre compte à l'aide d'autres facteurs d'authentification, contactez AWS Support pour désactiver votre paramètre MFA.

Pour configurer et activer un périphérique MFA virtuel à utiliser avec votre utilisateur racine (console)

  1. Connectez-vous à la console AWS Management Console.

  2. Effectuez l'une des actions suivantes :

    • Option 1 : Choisissez Tableau de bord, et sous Statut de sécurité, développez Activer MFA sur votre utilisateur racine.

    • Option 2 : À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur Mes informations d'identification de sécurité. Au besoin, choisissez Passer aux informations d'identification de sécurité. Puis développez la section Multi-Factor Authentication (MFA) sur la page.

      
                        Mes informations d'identification de sécurité dans le menu de navigation
  3. Choisissez Gérer MFA ou Activer MFA, en fonction de l'option choisie à l'étape précédente.

  4. Dans l'assistant, choisissez Appareil MFA virtuel, puis Continuer.

  5. Vérifiez qu'une application MFA virtuelle est installée sur le périphérique, puis choisissez Continuer. IAM génère et affiche les informations de configuration du périphérique MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Toujours dans l'assistant Gérer l'appareil MFA, ouvrez l'application MFA virtuelle sur le périphérique.

  7. Si le logiciel MFA virtuel prend en charge plusieurs comptes (plusieurs périphériques MFA virtuels), choisissez l'option permettant de créer un compte (un nouveau périphérique virtuel).

  8. La manière la plus simple de configurer l'application consiste à utiliser l'application pour analyser le code QR. Si vous ne pouvez pas analyser le code, vous pouvez saisir les informations de configuration manuellement.

    • Pour utiliser le code QR pour configurer le périphérique MFA virtuel, dans l'assistant, choisissez Show QR code (Afficher le code QR). Ensuite, suivez les instructions de l'application pour scanner le code. Par exemple, vous pouvez avoir besoin d'appuyer sur l'icône de caméra ou de taper une commande similaire à Scan account barcode, puis d'utiliser la caméra du périphérique pour analyser le code QR.

    • Dans l'assistant Gérer l'appareil MFA, choisissez Afficher la clé secrète pour la configuration manuelle, puis saisissez la clé secrète dans votre application MFA.

    Important

    Faites une sauvegarde sécurisée du code QR ou de la clé de configuration secrète ou assurez-vous d'activer plusieurs périphériques MFA virtuels pour votre compte. Un périphérique MFA virtuel peut devenir indisponible, par exemple, si vous perdez le smartphone hébergeant le périphérique MFA. Si cela se produit, vous ne pourrez pas vous connecter à votre compte, ni à contacter le service client pour supprimer la protection MFA du compte.

    Note

    Le code QR et la clé de configuration secrète générés par IAM sont liés à votre compte AWS et ne peuvent pas être utilisés avec un compte différent. En revanche, ils peuvent être réutilisés pour configurer un nouveau périphérique MFA pour votre compte si vous perdez l'accès au périphérique MFA d'origine.

    Le périphérique commence à générer des numéros à six chiffres.

  9. Dans l'assistant Gérer l'appareil MFA, dans la zone MFA Code 1 (Code MFA 1), entrez le numéro à six chiffres qui s'affiche actuellement sur le périphérique MFA. Attendez 30 secondes pour que le périphérique génère un nouveau numéro à six chiffres, puis saisissez celui-ci dans la zone MFA Code 2 (Code MFA 2).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le périphérique MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le périphérique.

  10. Cliquez sur Assign MFA (Affecter le MFA), puis sur Terminer.

Le périphérique est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'AWS Management Console, consultez Utilisation de périphériques MFA avec votre page de connexion IAM.

Remplacer un appareil MFA virtuel ou le soumettre à une « rotation »

Vous pouvez disposer d'un seul périphérique MFA attribué à un utilisateur à la fois. Si l'utilisateur perd un périphérique ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l'ancien périphérique. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.