Usar autenticação multifator (MFA) na AWS - AWS Identity and Access Management

Usar autenticação multifator (MFA) na AWS

Para obter mais segurança, recomendamos que você configure a autenticação multifator (MFA) para ajudar a proteger seus recursos da AWS. Você pode habilitar a MFA para usuários do IAM ou para o Usuário raiz da conta da AWS. Quando você habilitar a MFA para o usuário raiz, ela afetará somente as credenciais usuário raiz. Os usuários do IAM na conta são identidades distintas com suas próprias credenciais, e cada identidade tem sua própria configuração de MFA.

O que é MFA?

A MFA agrega mais segurança porque requer que os usuários para fornecer autenticação exclusivo de um mecanismo de MFA com suporte da AWS, além das suas credenciais de login regular ao acessarem sites ou serviços da AWS:

  • Dispositivos MFA virtuais. Um aplicativo de software em execução em um telefone ou outro dispositivo que emula um dispositivo físico. O dispositivo gera um código numérico de seis dígitos com base em um algoritmo de senha única sincronizado com o tempo. O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA virtual atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código no dispositivo MFA de outro usuário para se autenticar. Como eles podem ser executados em dispositivos móveis não seguros, a MFA virtual talvez não forneça o mesmo nível de segurança de dispositivos U2F ou dispositivos MFA de hardware. Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware. Para obter uma lista de alguns aplicativos compatíveis que podem ser usados como dispositivos MFA virtuais, consulte a página Autenticação multifator. Para obter instruções sobre como configurar um dispositivo MFA virtual com a AWS, consulte Habilitar um dispositivo de autenticação multifator (MFA) virtual (console).

  • Chave de segurança U2F Um dispositivo que você conecta a uma porta USB no seu computador. U2F é um padrão de autenticação aberto hospedado pela FIDO Alliance. Quando habilita uma chave de segurança U2F, você faz login inserindo as credenciais e, em seguida, tocando no dispositivo em vez de inserir manualmente um código. Para obter informações sobre as chaves de segurança U2F compatíveis com a AWS, consulte Autenticação multifator. Para obter instruções sobre como configurar uma chave de segurança U2F virtual com a AWS, consulte Habilitar uma chave de segurança U2F (console).

  • Dispositivo MFA de hardware. O dispositivo de hardware gera um código numérico de seis dígitos com base em um algoritmo de senha única sincronizado com o tempo. O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código do dispositivo de outro usuário para ser autenticado. Para obter informações sobre os dispositivos MFA de hardware compatíveis, consulte Autenticação multifator. Para obter instruções sobre como configurar um dispositivo MFA de hardware com a AWS, consulte Habilitar um dispositivo MFA de hardware (console).

  • MFA baseada em mensagem de texto SMS. Um tipo de MFA em que as configurações de usuário do IAMincluem o número de telefone do dispositivo móvel do usuário compatível com SMS. Quando o usuário faz login, a AWS envia um código de seis dígitos numéricos por mensagem de texto SMS para o dispositivo móvel. O usuário deve digitar o código em uma segunda página da web durante o login. A MFA baseada em SMS está disponível apenas para usuários do IAM. Você não pode usar esse tipo de MFA com o Usuário raiz da conta da AWS. Para obter mais informações sobre como habilitar a MFA baseada em mensagens de texto SMS, consulte VISUALIZAÇÃO: habilitação de mensagem de texto SMS de dispositivos MFA.

    nota

    Em breve, a AWS encerrará o suporte para autenticação multifator (MFA) de SMS. Não estamos permitindo que novos clientes visualizem esse recurso. Recomendamos que os clientes atuais mudem para um dos seguintes métodos alternativos de MFA: dispositivo MFA virtual (baseado em software), chave de segurança U2F ou dispositivo MFA de hardware. Você pode visualizar os usuários da sua conta com um dispositivo MFA SMS atribuído. Para fazer isso, acesse o console do IAM, selecione Users (Usuários) no painel de navegação e procure os usuários com SMS na coluna MFA da tabela.

Para obter respostas para perguntas frequentes sobre a AWS MFA, consulte as Perguntas frequentes sobre a AWS Multi-Factor Authentication.