Uso de autenticação multifator (MFA) na AWS - AWS Identity and Access Management
O que é MFA?

Uso de autenticação multifator (MFA) na AWS

Para obter mais segurança, recomendamos que você configure a autenticação multifator (MFA) para ajudar a proteger seus recursos da AWS. Você pode habilitar a MFA para o Usuário raiz da conta da AWS ou para usuários do IAM. Quando você habilitar a MFA para o usuário raiz, ela afetará somente as credenciais do usuário raiz. Os usuários do IAM na conta são identidades distintas com suas próprias credenciais, e cada identidade tem sua própria configuração de MFA. Você pode registrar até oito dispositivos com MFA de qualquer combinação dos tipos de MFA atualmente compatíveis com seu Usuário raiz da conta da AWS e usuários do IAM. Para obter mais informações sobre os tipos de MFA com suporte, consulte O que é MFA?. Com vários dispositivos com MFA, é necessário apenas um dispositivo com MFA para acessar o AWS Management Console ou criar uma sessão pela AWS CLI como esse usuário.

nota

Recomendamos exigir que seus usuários humanos usem credenciais temporárias ao acessar a AWS. Você já pensou em usar o AWS IAM Identity Center? O IAM Identity Center pode ser usado para gerenciar centralmente o acesso a várias Contas da AWS e fornecer aos usuários acesso de logon único protegido por MFA a todas as contas atribuídas em um só lugar. Com o IAM Identity Center, é possível criar e gerenciar identidades de usuários no IAM Identity Center ou conectar facilmente ao provedor de identidades compatível com SAML 2.0 existente. Para obter mais informações, consulte O que é o IAM Identity Center? no Guia do usuário do AWS IAM Identity Center.

O que é MFA?

A MFA aumenta a segurança porque, além das credenciais de login usuais, exige que os usuários forneçam autenticação exclusiva em um mecanismo de MFA compatível com a AWS quando acessam sites ou serviços da AWS. A AWS é compatível com os tipos de MFA a seguir.

Segurança FIDO

As chaves de segurança de hardware certificadas pela FIDO são oferecidas por fornecedores terceirizados.

A FIDO Alliance conta com uma lista de todos os produtos certificados pela FIDO compatíveis com as especificações da FIDO. Os padrões de autenticação FIDO são baseados em criptografia de chave pública, permitindo uma autenticação forte e resistente a phishing que é mais segura do que senhas. Chaves de segurança FIDO oferecem suporte a várias contas raiz e usuários do IAM usando uma única chave de segurança. Para obter mais informações sobre como habilitar as chaves de segurança FIDO, consulte Habilitar uma chave de segurança FIDO (console).

Dispositivos virtuais de MFA

Uma aplicação de autenticador virtual que é executada em um telefone ou outro dispositivo e emula um dispositivo físico.

As aplicações de autenticação virtual implementam o algoritmo de senha de uso único com marcação temporal (TOTP) e oferecem suporte a vários tokens em um único dispositivo. O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA virtual atribuído a um usuário deve ser exclusivo. O usuário não pode digitar um código no dispositivo de MFA de outro usuário para se autenticar. Como eles podem ser executados em dispositivos móveis não protegidos, a MFA virtual talvez não forneça o mesmo nível de segurança de chaves de segurança FIDO.

Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware. Para obter uma lista de alguns aplicativos compatíveis que podem ser usados como dispositivos MFA virtuais, consulte a página Autenticação multifator. Para obter instruções sobre como configurar um dispositivo MFA virtual com a AWS, consulte Habilitar um dispositivo de autenticação multifator (MFA) virtual (console).

Token físico de TOTP

Um dispositivo físico que gera um código numérico de seis dígitos baseado no algoritmo de senha de uso único com marcação temporal (TOTP).

O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código do dispositivo de outro usuário para ser autenticado. Para obter informações sobre os dispositivos MFA de hardware compatíveis, consulte Autenticação multifator. Para obter instruções sobre como configurar um token de hardware TOTP com a AWS, consulte Habilitar um token de hardware TOTP (console).

Recomendamos que você use chaves de segurança FIDO como alternativa aos dispositivos físicos de TOTP. As chaves de segurança FIDO oferecem a vantagem de não usar bateria, ter resistência a phishing e comportar vários usuários de IAM ou raízes em um único dispositivo para maior segurança.

nota

MFA baseada em mensagem de texto de SMS: a AWS não é mais compatível com a habilitação de autenticação multifator (MFA) por SMS. Recomendamos que os clientes com usuários do IAM que usam MFA baseada em texto de SMS mudem para um dos seguintes métodos alternativos: chave de segurança FIDO, dispositivo de MFA virtual (baseado em software) ou dispositivo de MFA de hardware. Você pode identificar os usuários da sua conta com um dispositivo de MFA por SMS atribuído. Para fazer isso, vá para o console do IAM, escolha Users (Usuários) no painel de navegação e procure os usuários com SMS na coluna MFA da tabela.

Tópicos