Uso de autenticação multifator (MFA) na AWS - AWS Identity and Access Management

Uso de autenticação multifator (MFA) na AWS

Para obter mais segurança, recomendamos que você configure a autenticação multifator (MFA) para ajudar a proteger seus recursos da AWS. Você pode habilitar a MFA para usuários do IAM ou para o usuário raiz da Conta da AWS. Quando você habilitar a MFA para o usuário raiz, ela afetará somente as credenciais do usuário raiz. Os usuários do IAM na conta são identidades distintas com suas próprias credenciais, e cada identidade tem sua própria configuração de MFA.

nota

Você já pensou em usar o AWS IAM Identity Center (successor to AWS Single Sign-On) (IAM Identity Center)? O IAM Identity Center pode ser usado para gerenciar centralmente o acesso a várias Contas da AWS e fornecer aos usuários acesso de logon único protegido por MFA a todas as contas atribuídas em um só lugar. Com o IAM Identity Center, é possível criar e gerenciar identidades de usuários no IAM Identity Center ou conectar facilmente ao provedor de identidades compatível com SAML 2.0 existente. Para obter mais informações, consulte O que é o IAM Identity Center? no Guia do usuário do AWS IAM Identity Center (successor to AWS Single Sign-On).

O que é MFA?

A MFA agrega mais segurança porque requer que os usuários para fornecer autenticação exclusivo de um mecanismo de MFA com suporte da AWS, além das suas credenciais de login regular ao acessarem sites ou serviços da AWS:

  • Dispositivos MFA virtuais. Um aplicativo de software em execução em um telefone ou outro dispositivo que emula um dispositivo físico. O dispositivo gera um código numérico de seis dígitos com base em um algoritmo de senha única sincronizado com o tempo. O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA virtual atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código no dispositivo MFA de outro usuário para se autenticar. Como eles podem ser executados em dispositivos móveis não seguros, a MFA virtual talvez não forneça o mesmo nível de segurança de dispositivos FIDO2 ou dispositivos d MFA de hardware. Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware. Para obter uma lista de alguns aplicativos compatíveis que podem ser usados como dispositivos MFA virtuais, consulte a página Autenticação multifator. Para obter instruções sobre como configurar um dispositivo MFA virtual com a AWS, consulte Habilitar um dispositivo de autenticação multifator (MFA) virtual (console).

  • Chave de segurança FIDO. Um dispositivo que você conecta a uma porta USB no seu computador. FIDO2 é um padrão aberto de autenticação hospedado pela FIDO Alliance. Quando habilita uma chave de segurança FIDO2, você faz login inserindo as credenciais e depois tocando no dispositivo em vez de inserir manualmente um código. Para obter informações sobre as chaves de segurança FIDO2 compatíveis com a AWS, consulte Autenticação multifator. Para obter instruções sobre como configurar uma chave de segurança FIDO2 com a AWS, consulte Habilitar uma chave de segurança FIDO (console).

  • Dispositivo MFA de hardware. O dispositivo de hardware gera um código numérico de seis dígitos com base em um algoritmo de senha única sincronizado com o tempo. O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código do dispositivo de outro usuário para ser autenticado. Para obter informações sobre os dispositivos MFA de hardware compatíveis, consulte Autenticação multifator. Para obter instruções sobre como configurar um dispositivo MFA de hardware com a AWS, consulte Habilitar um dispositivo com MFA de hardware (console).

    nota

    MFA baseada em mensagem de texto de SMS. A AWS não é mais compatível com a habilitação de autenticação multifator (MFA) por SMS. Recomendamos que os clientes que têm usuários de IAM que usam MFA baseada em texto de SMS mudem para um dos seguintes métodos alternativos: dispositivo de MFA virtual (baseado em software), chave de segurança FIDO ou dispositivo de MFA de hardware. Você pode identificar os usuários da sua conta com um dispositivo de MFA por SMS atribuído. Para fazer isso, vá para o console do IAM, escolha Users (Usuários) no painel de navegação e procure os usuários com SMS na coluna MFA da tabela.