AWS Identity and Access Management
Guide de l'utilisateur

Activation d'un périphérique MFA (Multi-factor Authentication) virtuel (console)

Un périphérique MFA virtuel utilise une application logicielle pour générer un code d'authentification à six chiffres compatible avec la norme TOTP (Time-Based One-Time Password), comme décrit dans le document RFC 6238. L'application peut être exécutée sur n'importe quel appareil mobile, notamment les smartphones. Avec la plupart des applications MFA virtuelles, vous pouvez héberger plusieurs périphériques MFA virtuels, ce qui leur confère un avantage pratique par rapport au matériel MFA. Cependant, notez qu'un MFA virtuel peut être exécuté sur un appareil moins sécurisé, tel qu'un smartphone. Par conséquent, un MFA virtuel peut ne pas fournir le même niveau de sécurité qu'un appareil MFA matériel.

Vous pouvez activer un seul périphérique MFA par Utilisateur racine d'un compte AWS ou utilisateur IAM, et ce périphérique peut uniquement être employé par l'utilisateur spécifié. Même si certaines applications logicielles MFA virtuelles semblent prendre en charge plusieurs comptes, chaque compte que vous ajoutez représente un périphérique MFA virtuel unique. De plus, ce même appareil virtuel peut seulement être associé à un seul utilisateur.

Pour obtenir une liste des applications MFA virtuelles que vous pouvez utiliser sur des smartphones et des tablettes (notamment Google Android, Apple iPhone et iPad, et Windows Phone), consultez Multi-Factor Authentication. Notez que AWS nécessite une application MFA virtuelle générant un code OTP à six chiffres.

Procédez de la manière suivante pour activer et gérer des périphériques MFA à l'aide de l'AWS Management Console. Pour activer et gérer des périphériques MFA dans la ligne de commande, ou pour utiliser l'API, consultez Activation et gestion des périphériques MFA virtuels (AWS CLI ou API AWS).

Important

Lorsque vous configurez un périphérique MFA virtuel pour l'utiliser avec AWS, nous vous recommandons d'enregistrer une copie du code QR ou la clé secrète dans un emplacement sécurisé. De cette manière, si vous perdez le téléphone ou si vous devez réinstaller l'application logicielle MFA pour une raison quelconque, vous pouvez reconfigurer l'application de sorte qu'elle utilise le même MFA virtuel. Cela évite d'avoir à créer une nouvelle clé MFA virtuelle dans AWS pour l'utilisateur ou l'utilisateur racine.

Activation d'un périphérique MFA virtuel pour un utilisateur IAM (Console)

Vous pouvez utiliser IAM dans l'AWS Management Console pour activer un périphérique MFA virtuel pour un utilisateur IAM dans votre compte.

Note

Pour configurer l'authentification MFA, vous devez avoir accès physique au matériel sur lequel le périphérique MFA virtuel de l'utilisateur est hébergé. Par exemple, vous pouvez configurer le MFA pour un utilisateur qui utilisera un appareil MFA virtuel s'exécutant sur un smartphone. Dans ce cas, vous devez avoir le smartphone à proximité afin de finaliser l'assistant. De ce fait, vous pouvez préférer laisser les utilisateurs configurer et gérer leurs propres périphériques MFA virtuels. Dans ce cas, vous devez accorder aux utilisateurs l'autorisation d'exécuter les actions IAM nécessaires. Pour obtenir plus d'informations et un exemple de stratégie IAM accordant ces autorisations, consultez Autoriser les utilisateurs à gérer uniquement leurs propres appareils MFA virtuels.

Pour activer un périphérique MFA virtuel pour un utilisateur IAM (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Users.

  3. Dans la liste Nom d'utilisateur, choisissez le nom utilisateur MFA prévu.

  4. Choisissez l'onglet Informations d'identification de sécurité. En regard de Assigned MFA device (Appareil MFA affecté), choisissez Manage (Gérer).

  5. Dans l'assistant Gérer l'appareil MFA, choisissez Appareil MFA virtuel, puis Continuer.

    IAM génère et affiche les informations de configuration du périphérique MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre application MFA virtuelle. (Pour obtenir une liste des applications que vous pouvez utiliser pour héberger des périphériques MFA virtuels, consultez Multi-Factor Authentication.) Si l'application MFA virtuelle prend en charge plusieurs comptes (plusieurs périphériques MFA virtuels), choisissez l'option permettant de créer un compte (un nouveau périphérique MFA virtuel).

  7. Déterminez si l'application MFA prend en charge les codes QR, puis effectuez l'une des actions suivantes :

    • Dans l'assistant, choisissez Show QR code (Afficher le code QR), puis utiliser l'application pour analyser le code QR. Par exemple, vous pouvez choisir l'icône de caméra ou une option similaire à Scan code, puis utiliser la caméra du périphérique pour analyser le code.

    • Dans l'assistant Gérer l'appareil MFA, choisissez Afficher la clé secrète pour la configuration manuelle, puis saisissez la clé secrète dans votre application MFA.

    Une fois que vous avez terminé, le périphérique MFA virtuel commence à générer des mots de passe uniques.

  8. Dans l'assistant Gérer l'appareil MFA, dans la zone MFA Code 1 (Code MFA 1), saisissez le mot de passe unique qui s'affiche actuellement sur le périphérique MFA virtuel. Attendez jusqu'à 30 secondes pour que le périphérique génère un nouveau mot de passe unique. Saisissez ensuite le second mot de passe unique dans la zone MFA Code 2 (Code MFA 2). Choisissez Assign MFA (Affecter le MFA).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le périphérique MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le périphérique.

Le périphérique MFA virtuel est maintenant prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'AWS Management Console, consultez Utilisation de périphériques MFA avec votre page de connexion IAM.

Activer un périphérique MFA virtuel pour l'utilisateur racine de votre compte AWS (Console)

Vous pouvez utiliser IAM dans l'AWS Management Console pour configurer et activer un périphérique MFA virtuel pour votre utilisateur racine. Pour activer des périphériques MFA pour le compte AWS, vous devez être connecté à AWS à l'aide des informations d'identification d'utilisateur racine. Vous ne pouvez pas activer un périphérique MFA pour l'Utilisateur racine d'un compte AWS avec l'AWS CLI, l'API AWS, Outils pour Windows PowerShell, ni avec tout autre outil de ligne de commande.

Si votre périphérique MFA est perdu, volé ou s'il cesse de fonctionner, vous pouvez toujours vous connecter à l'aide d'autres facteurs d'authentification. Si vous ne pouvez pas vous connecter avec votre périphérique MFA, vous pouvez vous connecter en confirmant votre identité à l'aide de l'adresse e-mail et du numéro de téléphone qui sont enregistrés dans votre compte. Avant d'activer MFA pour votre utilisateur racine, vérifiez les paramètres de votre compte et les informations de contact pour vous assurer que vous avez accès à l'adresse e-mail et au numéro de téléphone. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez Que faire si un périphérique MFA est perdu ou cesse de fonctionner ?. Pour désactiver cette fonction, contactez AWS Support.

Note

Si vous utilisez un compte AWS créé après le 14 septembre 2017, il est possible que vous constatiez des différences dans les pages de console suivantes : Se connecter à l'aide de MFA et Dépanner votre appareil d'authentification. Toutefois, les mêmes fonctions sont fournies. Dans ces deux cas, si vous ne pouvez pas vérifier l'adresse e-mail et le numéro de téléphone de votre compte à l'aide d'autres facteurs d'authentification, contactez AWS Support pour désactiver votre paramètre MFA.

Pour configurer et activer un périphérique MFA virtuel à utiliser avec votre utilisateur racine (console)

  1. Connectez-vous à la console AWS Management Console.

  2. Effectuez l'une des actions suivantes :

    • Option 1 : Choisissez Tableau de bord, et sous Statut de sécurité, développez Activer MFA sur votre utilisateur racine.

    • Option 2 : À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur Mes informations d'identification de sécurité. Au besoin, choisissez Passer aux informations d'identification de sécurité. Puis développez la section Multi-Factor Authentication (MFA) sur la page.

      
                Mes informations d'identification de sécurité dans le menu de navigation
  3. Choisissez Gérer MFA ou Activer MFA, en fonction de l'option choisie à l'étape précédente.

  4. Dans l'assistant, choisissez Appareil MFA virtuel, puis Continuer.

  5. Vérifiez qu'une application MFA virtuelle est installée sur le périphérique, puis choisissez Continuer. IAM génère et affiche les informations de configuration du périphérique MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Toujours dans l'assistant Gérer l'appareil MFA, ouvrez l'application MFA virtuelle sur le périphérique.

  7. Si le logiciel MFA virtuel prend en charge plusieurs comptes (plusieurs périphériques MFA virtuels), choisissez l'option permettant de créer un compte (un nouveau périphérique virtuel).

  8. La manière la plus simple de configurer l'application consiste à utiliser l'application pour analyser le code QR. Si vous ne pouvez pas analyser le code, vous pouvez saisir les informations de configuration manuellement.

    • Pour utiliser le code QR pour configurer le périphérique MFA virtuel, dans l'assistant, choisissez Show QR code (Afficher le code QR). Ensuite, suivez les instructions de l'application pour scanner le code. Par exemple, vous pouvez avoir besoin d'appuyer sur l'icône de caméra ou de taper une commande similaire à Scan account barcode, puis d'utiliser la caméra du périphérique pour analyser le code QR.

    • Dans l'assistant Gérer l'appareil MFA, choisissez Afficher la clé secrète pour la configuration manuelle, puis saisissez la clé secrète dans votre application MFA.

    Important

    Faites une sauvegarde sécurisée du code QR ou de la clé de configuration secrète ou assurez-vous d'activer plusieurs périphériques MFA virtuels pour votre compte. Un périphérique MFA virtuel peut devenir indisponible, par exemple, si vous perdez le smartphone hébergeant le périphérique MFA. Si cela se produit, vous ne pourrez pas vous connecter à votre compte, ni à contacter le service client pour supprimer la protection MFA du compte.

    Note

    Le code QR et la clé de configuration secrète générés par IAM sont liés à votre compte AWS et ne peuvent pas être utilisés avec un compte différent. En revanche, ils peuvent être réutilisés pour configurer un nouveau périphérique MFA pour votre compte si vous perdez l'accès au périphérique MFA d'origine.

    Le périphérique commence à générer des numéros à six chiffres.

  9. Dans l'assistant Gérer l'appareil MFA, dans la zone MFA Code 1 (Code MFA 1), entrez le numéro à six chiffres qui s'affiche actuellement sur le périphérique MFA. Attendez 30 secondes pour que le périphérique génère un nouveau numéro à six chiffres, puis saisissez celui-ci dans la zone MFA Code 2 (Code MFA 2).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le périphérique MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le périphérique.

  10. Cliquez sur Assign MFA (Affecter le MFA), puis sur Terminer.

Le périphérique est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'AWS Management Console, consultez Utilisation de périphériques MFA avec votre page de connexion IAM.

Remplacer un appareil MFA virtuel ou le soumettre à une « rotation »

Vous pouvez disposer d'un seul périphérique MFA attribué à un utilisateur à la fois. Si l'utilisateur perd un périphérique ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l'ancien périphérique. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.