Menu
AWS Identity and Access Management
Guide de l'utilisateur

Activation d'un périphérique d'authentification multi-facteurs (MFA) virtuel

Un périphérique MFA virtuel utilise une application logicielle pour générer un code d'authentification à six chiffres compatible avec la norme TOTP (Time-Based One-Time Password), comme décrit dans le document RFC 6238. L'application peut être exécutée sur n'importe quel appareil mobile, notamment les smartphones. Avec la plupart des applications MFA virtuelles, vous pouvez héberger plusieurs périphériques MFA virtuels, ce qui leur confère un avantage pratique par rapport au matériel MFA. Cependant, notez qu'un MFA virtuel peut être exécuté sur un appareil moins sécurisé, tel qu'un smartphone. Par conséquent, un MFA virtuel peut ne pas fournir le même niveau de sécurité qu'un appareil MFA matériel.

Vous pouvez activer un seul appareil MFA par Utilisateur racine d'un compte AWS ou utilisateur IAM, et cet appareil peut uniquement être employé par l'utilisateur spécifié. Gardez à l'esprit que même si certaines applications logicielles MFA virtuelles semblent prendre en charge plusieurs comptes, chaque compte que vous ajoutez représente un appareil MFA virtuel unique qui ne peut être associé qu'à un seul utilisateur. De plus, ce même appareil virtuel peut seulement être associé à un seul utilisateur.

Pour obtenir une liste des applications MFA virtuelles que vous pouvez utiliser sur des smartphones et des tablettes (notamment Google Android, Apple iPhone et iPad, et Windows Phone), accédez à la section Applications MFA virtuelles sur la page http://aws.amazon.com/iam/details/mfa/. Notez que AWS nécessite une application MFA virtuelle générant un code OTP à six chiffres.

Procédez de la manière suivante pour activer et gérer des périphériques MFA à l'aide de l'AWS Management Console. Pour activer et gérer des périphériques MFA dans la ligne de commande, ou pour utiliser l'API, consultez Activer et gérer des périphériques MFA virtuels (AWS CLI, Outils pour Windows PowerShell ou API AWS).

Important

Lorsque vous configurez un périphérique MFA virtuel pour l'utiliser avec AWS, nous vous recommandons d'enregistrer une copie du code QR ou la clé secrète dans un emplacement sécurisé. De cette manière, si vous perdez le téléphone ou si vous devez réinstaller l'application logicielle MFA pour une raison quelconque, vous pouvez reconfigurer l'application de sorte qu'elle utilise le même MFA virtuel. Cela évite d'avoir à créer une nouvelle clé MFA virtuelle dans AWS pour l'utilisateur ou l'utilisateur racine.

Activer un appareil MFA virtuel pour un utilisateur IAM (AWS Management Console)

Vous pouvez utiliser IAM dans AWS Management Console pour activer un périphérique MFA virtuel pour un utilisateur IAM dans votre compte.

Note

Pour configurer l'authentification MFA, vous devez avoir accès physique au matériel sur lequel le périphérique MFA virtuel de l'utilisateur est hébergé. Par exemple, vous pouvez configurer le MFA pour un utilisateur qui utilisera un appareil MFA virtuel s'exécutant sur un smartphone. Dans ce cas, vous devez avoir le smartphone à proximité afin de finaliser l'assistant. De ce fait, vous pouvez préférer laisser les utilisateurs configurer et gérer leurs propres périphériques MFA virtuels. Dans ce cas, vous devez accorder aux utilisateurs l'autorisation d'exécuter les actions IAM nécessaires. Pour obtenir plus d'informations et un exemple de stratégie IAM accordant ces autorisations, consultez Autoriser les utilisateurs à gérer uniquement leurs propres appareils MFA virtuels.

Pour activer un périphérique MFA virtuel pour un utilisateur

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Users.

  3. Dans la liste User Name, choisissez le nom utilisateur MFA prévu.

  4. Choisissez l'onglet Informations d'identification de sécurité. Puis, en regard de Assigned MFA device, choisissez l'icône de modification ( ).

  5. Dans l'assistant Manage MFA Device, choisissez A virtual MFA device, puis Next Step.

    IAM génère et affiche les informations de configuration du périphérique MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la « clé de configuration secrète » que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre application MFA virtuelle. (Pour obtenir une liste des applications que vous pouvez utiliser pour héberger des périphériques MFA virtuels, consultez Applications MFA virtuelles.) Si l'application MFA virtuelle prend en charge plusieurs comptes (plusieurs périphériques MFA virtuels), choisissez l'option permettant de créer un compte (un nouveau périphérique MFA virtuel).

  7. Déterminez si l'application MFA prend en charge les codes QR, puis effectuez l'une des actions suivantes :

    • Utilisez l'application pour analyser le code QR. Par exemple, vous pouvez choisir l'icône de caméra ou une option similaire à Scan code, puis utiliser la caméra du périphérique pour analyser le code.

    • Dans l'assistant Manage MFA Device, choisissez Show secret key for manual configuration, puis saisissez la clé de configuration secrète dans votre application MFA.

    Une fois que vous avez terminé, le périphérique MFA virtuel commence à générer des mots de passe uniques.

  8. Dans l'assistant Manage MFA Device, dans la zone Authentication Code 1, saisissez le mot de passe unique qui s'affiche actuellement sur le périphérique MFA virtuel. Attendez jusqu'à 30 secondes pour que le périphérique génère un nouveau mot de passe unique. Puis saisissez le second mot de passe unique dans la zone Authentication Code 2. Choisissez Active Virtual MFA.

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le périphérique MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser l'appareil.

Le périphérique MFA virtuel est maintenant prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec AWS Management Console, consultez Utilisation d'appareils MFA avec votre page de connexion IAM.

Activer un périphérique MFA virtuel pour l'utilisateur racine de votre compte AWS (Console)

Vous pouvez utiliser IAM dans l'AWS Management Console pour configurer et activer un périphérique MFA virtuel pour votre utilisateur racine. Pour activer des périphériques MFA pour le compte AWS, vous devez être connecté à AWS à l'aide des informations d'identification utilisateur racine. Vous ne pouvez activer un appareil MFA pour l'Utilisateur racine d'un compte AWS avec l'AWS CLI, l'API AWS, Outils pour Windows PowerShell ni avec tout autre outil de ligne de commande.

Si votre périphérique MFA est perdu, volé ou s'il cesse de fonctionner, vous pouvez toujours vous connecter à l'aide d'autres facteurs d'authentification. Pour ce faire, vous devez confirmer votre identité à l'aide de l'adresse e-mail et du numéro de téléphone enregistrés dans votre compte. Cela signifie que si vous ne pouvez pas vous connecter avec votre périphérique MFA, vous pouvez vous connecter en confirmant votre identité à l'aide de l'adresse e-mail et du numéro de téléphone qui sont enregistrés dans votre compte. Avant d'activer MFA pour votre utilisateur racine, vérifiez les paramètres de votre compte et les informations de contact pour vous assurer que vous avez accès à l'adresse e-mail et au numéro de téléphone. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez Que faire si un périphérique MFA est perdu ou cesse de fonctionner ?. Pour désactiver cette fonction, contactez AWS Support.

Note

Si vous utilisez un compte AWS créé après le 14 septembre 2017, il est possible que vous constatiez des différences dans les pages de console suivantes : Sign in with authentication device et Troubleshoot your authentication device. Toutefois, les mêmes fonctions sont fournies. Dans ces deux cas, si vous ne pouvez pas vérifier l'adresse e-mail et le numéro de téléphone de votre compte à l'aide d'autres facteurs d'authentification, contactez AWS Support pour désactiver votre paramètre MFA.

Pour configurer et activer un périphérique MFA virtuel à utiliser avec votre utilisateur racine

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Effectuez l'une des actions suivantes :

    • Option 1 : Choisissez Tableau de bord, et sous Statut de sécurité, développez Activate MFA on your utilisateur racine.

    • Option 2 : À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur My Security Credentials (Mes informations d'identification d'accès). Au besoin, choisissez Continue to Security Credentials. Puis développez la section Multi-Factor Authentication (MFA) sur la page.

       My Security Credentials (Mes informations d'identification de sécurité) dans le menu de navigation
  3. Choisissez Manage MFA ou Activate MFA, en fonction de l'option que vous choisissez à l'étape précédente.

  4. Dans l'assistant, choisissez A virtual MFA device, puis Next Step.

  5. Confirmez qu'une application MFA virtuelle est installée sur le périphérique, puis choisissez Étape suivante. IAM génère et affiche les informations de configuration du périphérique MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Toujours dans l'assistant Manage MFA Device, ouvrez l'application MFA virtuelle sur le périphérique.

  7. Si le logiciel MFA virtuel prend en charge plusieurs comptes (plusieurs périphériques MFA virtuels), choisissez l'option permettant de créer un compte (un nouveau périphérique virtuel).

  8. La manière la plus simple de configurer l'application consiste à utiliser l'application pour analyser le code QR. Si vous ne pouvez pas analyser le code, vous pouvez saisir les informations de configuration manuellement.

    • Pour utiliser le code QR pour configurer le périphérique MFA virtuel, suivez les instructions de l'application pour l'analyse du code. Par exemple, vous pouvez avoir besoin d'appuyer sur l'icône de caméra ou sur une commande similaire à Scan account barcode, puis d'utiliser la caméra du périphérique pour analyser le code QR.

    • Si vous ne pouvez pas analyser le code, saisissez les informations de configuration manuellement en entrant la valeur de Clé de configuration secrète dans l'application. Par exemple, pour faire cela dans l'application MFA virtuelle AWS, choisissez Manually add account, puis saisissez la clé de configuration secrète et choisissez Create.

    Important

    Faites une sauvegarde sécurisée du code QR ou de la clé de configuration secrète ou assurez-vous d'activer plusieurs périphériques MFA virtuels pour votre compte. Un périphérique MFA virtuel peut devenir indisponible, par exemple, si vous perdez le smartphone hébergeant le périphérique MFA. Si cela se produit, vous ne pourrez pas vous connecter à votre compte, ni à contacter le service client pour supprimer la protection MFA du compte.

    Note

    Le code QR et la clé de configuration secrète générés par IAM sont liés à votre compte AWS et ne peuvent pas être utilisés avec un compte différent. En revanche, ils peuvent être réutilisés pour configurer un nouveau périphérique MFA pour votre compte si vous perdez l'accès au périphérique MFA d'origine.

    Le périphérique commence à générer des numéros à six chiffres.

  9. Dans l'assistant Gérer l'appareil MFA, dans la zone Code d'authentification 1, entrez le numéro à six chiffres qui s'affiche actuellement sur le périphérique MFA. Attendez jusqu'à 30 secondes pour que le périphérique génère un nouveau numéro, puis saisissez celui-ci dans la zone Authentication Code 2.

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le périphérique MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser l'appareil.

  10. Cliquez sur Next Step, puis sur Finish.

Le périphérique est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec AWS Management Console, consultez Utilisation d'appareils MFA avec votre page de connexion IAM.

Remplacer un appareil MFA virtuel ou le soumettre à une « rotation »

Vous pouvez disposer d'un seul périphérique MFA virtuel attribué à un utilisateur à la fois. Si l'utilisateur perd un périphérique ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l'ancien périphérique. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.