Assegnare un token TOTP hardware nella AWS Management Console

Un dispositivo MFA hardware genera un codice numerico di sei cifre basato su un algoritmo di password monouso sincronizzato nel tempo. L'utente deve immettere un codice valido dal dispositivo quando richiesto durante la procedura di accesso. Ogni dispositivo MFA assegnato a un utente deve essere univoco; un utente non può immettere un codice dal dispositivo di un altro utente per effettuare l'autenticazione. I dispositivi MFA non possono essere condivisi tra account o utenti.

I dispositivi MFA hardware e le chiavi di sicurezza FIDO sono entrambi dispositivi fisici che si acquistano. I dispositivi hardware MFA generano codici TOTP per l'autenticazione quando accedi a. AWS Si basano sulle batterie, che potrebbero richiedere la sostituzione e la risincronizzazione nel tempo. AWS Le chiavi di sicurezza FIDO, che utilizzano la crittografia a chiave pubblica, non richiedono batterie e offrono un processo di autenticazione senza interruzioni. Consigliamo di utilizzare le chiavi di sicurezza FIDO per la loro resistenza al phishing e perché forniscono un'alternativa più sicura ai dispositivi TOTP. Inoltre, le chiavi di sicurezza FIDO possono supportare più utenti IAM o root sullo stesso dispositivo, migliorandone l'utilità per la sicurezza degli account. Per specifiche e informazioni sull'acquisto per entrambi i tipi di dispositivo, consulta Multi-Factor Authentication.

Puoi abilitare un token TOTP hardware per un utente IAM dalla AWS Management Console riga di comando o dall'API IAM. Per abilitare un dispositivo MFA per il tuo Utente root dell'account AWS, consulta. Abilita un TOTP token hardware per l'utente root (console)

Puoi registrare fino a otto dispositivi MFA di qualsiasi combinazione dei tipi di MFA attualmente supportati con i tuoi Utente root dell'account AWS utenti e IAM. Con più dispositivi MFA, è sufficiente un solo dispositivo MFA per accedere AWS Management Console o creare una sessione tramite l' AWS CLI as quell'utente.

Importante

Ti consigliamo di abilitare più dispositivi MFA per gli utenti in modo da garantire l'accesso continuo al tuo account in caso di smarrimento del dispositivo MFA o se diventa inaccessibile.

Nota

Per abilitare il dispositivo MFA dalla riga di comando, utilizzare aws iam enable-mfa-device. Per abilitare il dispositivo MFA con l'API IAM, utilizza l'operazione EnableMFADevice.

Autorizzazioni richieste

Per gestire un dispositivo MFA hardware per il proprio utente IAM proteggendo le operazioni sensibili correlate a MFA, è necessario disporre delle autorizzazioni dalla policy seguente:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Abilitazione di un dispositivo MFA hardware per un utente IAM (console)

È possibile abilitare il proprio dispositivo MFA hardware tramite AWS Management Console.

Nota

Prima di abilitare un dispositivo MFA hardware è necessario disporre di accesso fisico al dispositivo.

Come abilitare un dispositivo MFA hardware per un utente IAM (console)

1. Utilizza l'ID o l'alias dell'account, il nome utente IAM e la password per accedere alla console IAM. AWS

   Nota

   Per comodità, la pagina di AWS accesso utilizza un cookie del browser per ricordare il nome utente IAM e le informazioni sull'account. Se in precedenza è stato eseguito l'accesso con un utente diverso, scegli il link Accedi a un account differente nella parte inferiore della pagina per ritornare alla pagina principale di accesso. Da lì, puoi digitare l'ID o l'alias dell'account per essere reindirizzato alla pagina di accesso utente IAM relativa al tuo AWS account.

   Per ottenere il tuo Account AWS ID, contatta l'amministratore.

2. Seleziona il nome utente in alto a destra nella barra di navigazione e scegli Security credentials (Credenziali di sicurezza).

   

3. Nella scheda Credenziali AWS IAM, nella sezione Autenticazione a più fattori, seleziona Gestione dispositivo MFA.

4. Nella procedura guidata, digitate il nome del dispositivo, scegliete il token Hardware TOTP e quindi scegliete Avanti.

5. Digitare il numero di serie del dispositivo. In genere, il numero di serie è indicato sulla parte posteriore del dispositivo.

6. Nella casella MFA code 1 (Codice MFA 1) digitare il numero di sei cifre visualizzato nel dispositivo MFA. Per visualizzare il numero, potrebbe essere necessario premere il pulsante sul lato anteriore del dispositivo.

   

7. Attendere 30 secondi per consentire al dispositivo di aggiornare il codice, quindi digitare il nuovo numero a sei cifre nella casella MFA code 2 (Codice MFA 2). Per visualizzare il secondo numero, potrebbe essere necessario premere nuovamente il pulsante sul lato anteriore del dispositivo.

8. Scegli Aggiungi MFA.

   Importante

   La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se dopo avere generato i codici attendi troppo a lungo prima di inviare la richiesta, il dispositivo MFA si associerà correttamente con l'utente, ma perderà la sincronizzazione. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.

Il dispositivo è pronto per l'uso con AWS. Per ulteriori informazioni sull'utilizzo di MFA con la AWS Management Console, consulta Accesso abilitato con MFA.

Abilitazione di un dispositivo MFA hardware per un altro utente IAM (console)

Puoi abilitare un dispositivo MFA hardware per un altro utente IAM dalla AWS Management Console.

Come abilitare un dispositivo MFA hardware per un altro utente IAM (console)

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, seleziona Utenti.

3. Scegli il nome del segreto per il quale desideri abilitare la rotazione.

4. Seleziona la scheda Credenziali di sicurezza. Nella sezione Multi-Factor Authentication (MFA) (Autenticazione a più fattori), scegliere Assign MFA device (Assegna dispositivo MFA).

5. Nella procedura guidata, digitate il nome del dispositivo, scegliete il token Hardware TOTP e quindi scegliete Avanti.

6. Digitare il numero di serie del dispositivo. In genere, il numero di serie è indicato sulla parte posteriore del dispositivo.

7. Nella casella MFA code 1 (Codice MFA 1) digitare il numero di sei cifre visualizzato nel dispositivo MFA. Per visualizzare il numero, potrebbe essere necessario premere il pulsante sul lato anteriore del dispositivo.

   

8. Attendere 30 secondi per consentire al dispositivo di aggiornare il codice, quindi digitare il nuovo numero a sei cifre nella casella MFA code 2 (Codice MFA 2). Per visualizzare il secondo numero, potrebbe essere necessario premere nuovamente il pulsante sul lato anteriore del dispositivo.

9. Scegli Aggiungi MFA.

   Importante

   La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se dopo avere generato i codici attendi troppo a lungo prima di inviare la richiesta, il dispositivo MFA si associerà correttamente con l'utente, ma perderà la sincronizzazione. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.

Il dispositivo è pronto per l'uso con AWS. Per ulteriori informazioni sull'utilizzo di MFA con la AWS Management Console, consulta Accesso abilitato con MFA.

Sostituzione di un dispositivo MFA fisico

Puoi avere fino a otto dispositivi MFA di qualsiasi combinazione dei tipi di MFA attualmente supportati assegnati a un utente alla volta con i tuoi Utente root dell'account AWS utenti e IAM. Se l'utente dovesse perdere il proprio dispositivo o in caso di sostituzione, dovrai disattivare il vecchio dispositivo e quindi aggiungere quello nuovo.

• Per disattivare il dispositivo associato al momento con un utente, consultare Disattiva un dispositivo MFA.

• Per aggiungere un dispositivo MFA hardware sostitutivo per un utente IAM, segui la procedura Abilitazione di un dispositivo MFA hardware per un altro utente IAM (console)descritta prima in questo argomento.

• Per aggiungere un token TOTP hardware sostitutivo per Utente root dell'account AWS, segui i passaggi della procedura descritta in Abilita un TOTP token hardware per l'utente root (console) precedenza in questo argomento.