Activation d'un appareil Multi-Factor Authentication (MFA) virtuel (console) - AWS Identity and Access Management
Autorisations nécessairesActivation d'un dispositif MFA virtuel pour un utilisateur IAM (Console)Remplacer un périphérique MFA virtuel

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation d'un appareil Multi-Factor Authentication (MFA) virtuel (console)

Vous pouvez utiliser un téléphone ou un autre appareil comme appareil d'authentification multifacteur (MFA) virtuel. Pour ce faire, installez une application mobile conforme à RFC 6238, un algorithme TOTP (mot de passe unique basé sur le temps) basé sur des normes. Ces applications génèrent un code d'authentification à six chiffres. Comme ces applications d'authentification multifactorielle (MFA) virtuelle peuvent s'exécuter sur des appareils mobiles non sécurisés, elles peuvent ne pas offrir le même niveau de sécurité que les clés de sécurité FIDO. Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel.

La plupart des applications MFA virtuelles prennent en charge la création de plusieurs dispositifs virtuels, ce qui vous permet d'utiliser la même application pour plusieurs Comptes AWS ou utilisateurs. Vous pouvez enregistrer jusqu'à huit dispositifs MFA de n'importe quelle combinaison des types MFA actuellement pris en charge auprès de votre Utilisateur racine d'un compte AWS et des utilisateurs IAM. Avec plusieurs dispositifs MFA, vous n'en avez besoin que d'un seul pour vous connecter à la AWS Management Console ou créer une session à l'aide de la AWS CLI pour cet utilisateur. Nous vous recommandons d'enregistrer plusieurs appareils MFA. Pour les applications d'authentification, nous recommandons également d'activer la fonctionnalité de sauvegarde ou de synchronisation dans le cloud dans ces applications afin de vous éviter de perdre l'accès à votre compte si vous perdez ou cassez votre appareil avec les applications d'authentification.

Pour obtenir la liste des applications MFA virtuelles que vous pouvez utiliser, consultez Authentification multifactorielle. AWS nécessite une application MFA virtuelle qui génère un code OTP à six chiffres.

Autorisations nécessaires

Pour gérer des dispositifs MFA virtuels pour votre utilisateur IAM, vous devez disposer des autorisations de la politique suivante : AWS: permet aux utilisateurs IAM authentifiés MFA de gérer leur propre appareil MFA sur la page des informations d'identification de sécurité.

Activation d'un dispositif MFA virtuel pour un utilisateur IAM (Console)

Vous pouvez utiliser IAM dans AWS Management Console pour activer et gérer un dispositif MFA virtuel pour un utilisateur IAM de votre compte. Vous pouvez attacher des balises à vos ressources IAM, y compris les appareils MFA virtuels, pour les identifier, les organiser et contrôler l'accès. Vous pouvez baliser des appareils MFA virtuels uniquement lorsque vous utilisez l'API AWS CLI ou AWS. Pour activer et gérer un dispositif MFA à l'aide de l’interface AWS CLI ou de l'API AWS, consultez Activation et gestion des dispositifs MFA virtuels (AWS CLI ou API AWS). Pour plus d'informations sur le balisage des ressources IAM, consultez Balisage des ressources IAM.

Note

Pour configurer l'authentification MFA, vous devez avoir accès physique au matériel sur lequel le dispositif MFA virtuel de l'utilisateur est hébergé. Par exemple, vous pouvez configurer le MFA pour un utilisateur qui utilisera un dispositif MFA virtuel s'exécutant sur un smartphone. Dans ce cas, vous devez avoir le smartphone à proximité afin de finaliser l'assistant. De ce fait, vous pouvez préférer laisser les utilisateurs configurer et gérer leurs propres dispositifs MFA virtuels. Dans ce cas, vous devez accorder aux utilisateurs l'autorisation d'exécuter les actions IAM nécessaires. Pour en savoir plus sur la politique IAM qui accorde ces autorisations et pour accéder à un exemple, veuillez consulter la rubrique Didacticiel IAM : permettre aux utilisateurs de gérer leurs informations d'identification et leurs paramètres MFA et la politique d'exemple AWS: permet aux utilisateurs IAM authentifiés MFA de gérer leur propre appareil MFA sur la page des informations d'identification de sécurité.

Pour activer un dispositif MFA virtuel pour un utilisateur IAM (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Dans la liste des Users (Utilisateurs), choisissez le nom d'utilisateur IAM.

  4. Choisissez l'onglet Informations d'identification de sécurité. Dans la section Multi-Factor Authentication (MFA) (Authentification multifactorielle (MFA)), sélectionnez Assign MFA device (Attribuer un dispositif MFA).

  5. Dans l'assistant, saisissez un nom dans le champ Nom du dispositif, sélectionnez Application Authenticator, puis cliquez sur Suivant.

    IAM génère et affiche les informations de configuration du dispositif MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre application MFA virtuelle. Pour obtenir une liste des applications que vous pouvez utiliser pour héberger des dispositifs MFA virtuels, consultez authentification multifacteur.

    Si l'application MFA virtuelle prend en charge plusieurs comptes ou plusieurs dispositifs MFA virtuels, choisissez l'option permettant de créer un compte ou un dispositif MFA virtuel.

  7. Déterminez si l'application MFA prend en charge les codes QR, puis effectuez l'une des actions suivantes :

    • Dans l'assistant, choisissez Show QR code (Afficher le code QR), puis utiliser l'application pour analyser le code QR. Par exemple, vous pouvez choisir l'icône de caméra ou une option similaire à Scan code, puis utiliser la caméra du dispositif pour analyser le code.

    • Dans l'assistant, sélectionnez Show secret key (Afficher la clé secrète), puis saisissez la clé secrète dans votre application MFA.

    Une fois que vous avez terminé, le dispositif MFA virtuel commence à générer des mots de passe uniques.

  8. Sur la page Configurer l'appareil, accédez à la zone Code MFA 1 et saisissez le mot de passe à usage unique affiché sur le dispositif MFA virtuel. Attendez jusqu'à 30 secondes pour que le dispositif génère un nouveau mot de passe unique. Saisissez ensuite le second mot de passe unique dans la zone MFA Code 2 (Code MFA 2). Choisissez Add MFA (Ajouter un dispositif MFA).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le dispositif MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le dispositif.

Le dispositif MFA virtuel est maintenant prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l’interface AWS Management Console, consultez Utilisation de dispositifs MFA avec votre page de connexion IAM.

Remplacer un périphérique MFA virtuel

Vous pouvez enregistrer jusqu'à huit dispositifs MFA de n'importe quelle combinaison des types MFA actuellement pris en charge auprès de votre Utilisateur racine d'un compte AWS et des utilisateurs IAM. Si l'utilisateur perd un périphérique ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l'ancien périphérique. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.