Habilitar dispositivos com MFA para usuários na AWS - AWS Identity and Access Management

Habilitar dispositivos com MFA para usuários na AWS

As etapas para configurar a MFA dependem do tipo de dispositivo MFA que você está usando.

Etapas gerais para a habilitação de dispositivos com MFA

O procedimento de visão geral a seguir descreve como configurar e usar a MFA e fornece links para informações relacionadas.

  1. Obtenha um dispositivo MFA, como um dos seguintes. Você pode habilitar somente um dispositivo com MFA por usuário raiz da Conta da AWS ou usuário do IAM.

    • Um dispositivo MFA virtual, que é um app de software compatível com o RFC 6238, um algoritmo TOTP (senha única baseada em tempo) com base em padrões. Você pode instalar o aplicativo em um telefone ou outro dispositivo. Para obter uma lista de alguns aplicativos compatíveis que podem ser usados como dispositivos MFA virtuais, consulte a página Autenticação multifator.

    • Uma chave de segurança U2F com uma configuração compatível com a AWS, como um dos dispositivos U2F abordados na página Autenticação multifator.

    • Um dispositivo MFA com base em hardware, como um dos dispositivos de token de hardware compativeis com a AWS abordados na página Autenticação multifator.

    • Um telefone celular que pode receber mensagens de texto (SMS) padrão.

      Notes
      • Se você optar por usar MFA baseada em SMS, encargos de mensagens de texto da operadora de seu dispositivo móvel podem ser aplicáveis.

      • A MFA baseada em SMS só está disponível para usuários do IAM e não pode ser usada para o usuário raiz.

  2. Habilite o dispositivo MFA.

    • Usuários do IAM com dispositivos com MFA virtuais ou de hardware: habilitar no AWS Management Console, na AWS CLI ou na API do IAM.

    • Usuários do IAM com chaves de segurança U2F ou um telefone celular que pode receber mensagens de texto SMS: habilitar somente no AWS Management Console.

    • Usuários root da conta da AWS com qualquer tipo de dispositivo MFA (exceto MFA SMS, que não é suportado para usuários root): Habilitem somente do AWS Management Console.

    Para obter informações sobre como habilitar cada tipo de dispositivo MFA, consulte as seguintes páginas:

  3. Use o dispositivo MFA ao fazer login ou acessar recursos da AWS. Observe o seguinte:

    • Chaves de segurança U2F: para acessar um site da AWS, insira suas credenciais e toque na chave de segurança U2F quando solicitado.

    • Dispositivos MFA virtuais, dispositivos MFA de hardware e dispositivos MFA SMS: Para acessar um site da AWS, você precisa de um código MFA do dispositivo além do nome de usuário e senha. Se a AWS determinar que o usuário do IAM com o qual você se conectou está habilitado para MFA com SMS, ele enviará automaticamente o código MFA para o número de telefone configurado.

      Para acessar as operações de API protegidas por MFA, você precisa do seguinte:

      • Um código MFA

      • O identificador do dispositivo MFA (o número de série de um dispositivo físico ou o ARN de um dispositivo virtual ou SMS definido na AWS)

      • O ID de chave de acesso e a chave de acesso secreta usuais

    Notes
    • Você não pode transmitir as informações de MFA de uma chave de segurança U2F ou de um dispositivo MFA SMS para operações de API do AWS STS para solicitar credenciais temporárias.

    • Você não pode usar comandos da AWS CLI ou operações de API da AWS para habilitar chaves de segurança U2F.

Para obter mais informações, consulte Uso de dispositivos com MFA com sua página de login do IAM.