Tipos de MFA Recomendações para MFA Recursos adicionais

Código da autenticação multifator no IAM da AWS

Para obter mais segurança, recomendamos que você configure a autenticação multifator (MFA) para ajudar a proteger seus recursos da AWS. Você pode habilitar a MFA para o Usuário raiz da conta da AWS ou para usuários do IAM. Quando você habilitar a MFA para o usuário raiz, ela afetará somente as credenciais do usuário raiz. Os usuários do IAM na conta são identidades distintas com suas próprias credenciais, e cada identidade tem sua própria configuração de MFA.

Seu Usuário raiz da conta da AWS e usuários do IAM podem registrar até oito dispositivos MFA de qualquer tipo. O registro de vários dispositivos de MFA pode oferecer flexibilidade e ajudar a reduzir o risco de interrupção do acesso se um dispositivo for perdido ou quebrado. Basta um dispositivo MFA para acessar o AWS Management Console ou criar uma sessão pela AWS CLI.

nota

Recomendamos exigir que seus usuários humanos usem credenciais temporárias ao acessar a AWS. Você já pensou em usar o AWS IAM Identity Center? O IAM Identity Center pode ser usado para gerenciar centralmente o acesso a várias Contas da AWS e fornecer aos usuários acesso de logon único protegido por MFA a todas as contas atribuídas em um só lugar. Com o IAM Identity Center, é possível criar e gerenciar identidades de usuários no IAM Identity Center ou conectar facilmente ao provedor de identidades compatível com SAML 2.0 existente. Para obter mais informações, consulte O que é o IAM Identity Center? no Guia do usuário do AWS IAM Identity Center.

A MFA adiciona segurança extra que exige que os usuários forneçam autenticação exclusiva de um mecanismo de MFA compatível com a AWS, além de credenciais de login, quando acessam sites ou serviços da AWS.

Tipos de MFA

A AWS é compatível com os seguintes tipos de MFA:

Sumário

Chaves de acesso e chaves de segurança

A AWS Identity and Access Management é compatível com chaves de acesso e chaves de segurança para MFA. Com base nos padrões FIDO, chaves de acesso usam criptografia de chave pública para proporcionar uma autenticação forte e resistente a phishing que é mais segura do que as senhas. A AWS é compatível com dois tipos de chaves de acesso: chaves de acesso vinculadas a dispositivo (chaves de segurança) e chaves de acesso sincronizadas.

Chaves de segurança: dispositivos físicos, como a YubiKey, usados como segundo fator de autenticação. Uma única chave de segurança é compatível com várias contas de usuário-raiz e usuários do IAM.
Chaves de acesso sincronizadas: usam gerenciadores de credenciais de provedores como Google, Apple, contas da Microsoft e serviços de terceiros, como 1Password, Dashlane e Bitwarden, como segundo fator.

Você pode usar autenticadores biométricos integrados, como Touch ID em Apple MacBooks, para desbloquear seu gerenciador de credenciais e fazer login na AWS. As chaves de acesso são criadas com o provedor escolhido usando sua impressão digital, rosto ou PIN do dispositivo. Você pode sincronizar chaves de acesso em seus dispositivos para facilitar o login na AWS e aprimorar a usabilidade e a capacidade de recuperação.

O IAM não oferece suporte ao registro de chave de acesso local para o Windows Hello. Para criar e usar chaves de acesso, os usuários do Windows devem usar a autenticação entre dispositivos (CDA). É possível usar uma chave de acesso de CDA de um dispositivo, como um dispositivo móvel ou uma chave de segurança de hardware, para entrar em outro dispositivo, como um laptop.

A FIDO Alliance conta com uma lista de todos os produtos certificados pela FIDO compatíveis com as especificações da FIDO.

Para obter mais informações sobre como habilitar chaves de acesso e chaves de segurança, consulte Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console).

Aplicações de autenticador virtual

Uma aplicação de autenticador virtual funciona em um telefone ou outro dispositivo e emula um dispositivo físico. As aplicações de autenticação virtual implementam o algoritmo de senha de uso único com marcação temporal (TOTP) e oferecem suporte a vários tokens em um único dispositivo. O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de acesso. Cada token atribuído a um usuário deve ser exclusivo. O usuário não pode digitar um código do token de outro usuário para se autenticar.

Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware. Para obter uma lista de algumas aplicações compatíveis que podem ser usadas como dispositivos de MFA virtuais, consulte Autenticação multifator (MFA).

Para obter instruções sobre como configurar um dispositivo virtual de MFA para um usuário do IAM, consulte Atribuir um dispositivo MFA virtual ao AWS Management Console.

Tokens físicos de TOTP

Um dispositivo físico gera um código numérico de seis dígitos baseado no algoritmo de senha de uso único com marcação temporal (TOTP). O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login.

Esses tokens são usados exclusivamente com Contas da AWS. Você só pode usar tokens que compartilhem as sementes de token com a AWS de modo seguro. Sementes de token são chaves secretas geradas no momento da produção dos tokens. Tokens comprados de outras fontes não funcionam com o IAM. Para garantir compatibilidade, você deve comprar seu dispositivo físico de MFA em um dos seguintes links: token de OTP ou cartão com visor de OTP.

Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código do dispositivo de outro usuário para ser autenticado. Para obter informações sobre os dispositivos físicos de MFA compatíveis, consulte autenticação multifator (MFA).
Se você quiser usar um dispositivo físico de MFA, recomendamos que use chaves de segurança como alternativa aos dispositivos físicos de TOTP. As chaves de segurança não precisam de bateria, são resistentes a phishing e oferecem suporte a vários usuários em um único dispositivo.

Você só pode habilitar uma chave de acesso ou uma chave de segurança no AWS Management Console, não na AWS CLI ou na API da AWS. Antes que possa habilitar uma chave de segurança, você deve ter acesso físico ao dispositivo.

Para obter instruções sobre como configurar um token físico de TOTP para um usuário do IAM, consulte Atribuir um token de hardware TOTP ao AWS Management Console.

nota

MFA baseada em mensagem de texto de SMS: a AWS não é mais compatível com a habilitação de autenticação multifator (MFA) por SMS. Recomendamos que os clientes com usuários do IAM que usem MFA baseada em mensagem de texto por SMS mudem para um dos seguintes métodos alternativos: chave de acesso ou chave de segurança, dispositivo virtual de MFA (baseado em software) ou dispositivo físico de MFA. Você pode identificar os usuários da sua conta com um dispositivo de MFA por SMS atribuído. No console do IAM, selecione Users (Usuários) no painel de navegação e procure os usuários com SMS na coluna MFA da tabela.

Recomendações para MFA

Para ajudar a proteger suas identidades da AWS, siga as recomendações a seguir para autenticação MFA.

Recomendamos habilitar vários dispositivos com MFA para o Usuário raiz da conta da AWS e usuários do IAM em suas Contas da AWS. Isso permite aumentar o nível de segurança das Contas da AWS e simplificar o gerenciamento do acesso a usuários altamente privilegiados, como o Usuário raiz da conta da AWS.
Você pode registrar até oito dispositivos com MFA de qualquer combinação dos tipos de MFA atualmente compatíveis com seu Usuário raiz da conta da AWS e usuários do IAM. Com vários dispositivos de MFA, basta um dispositivo de MFA para acessar o AWS Management Console ou criar uma sessão pela AWS CLI como esse usuário. Um usuário do IAM deve se autenticar com um dispositivo de MFA existente para habilitar ou desabilitar um dispositivo de MFA adicional.
Caso o dispositivo de MFA seja perdido, roubado ou esteja inacessível, você pode usar um dos dispositivos de MFA restantes para acessar a Conta da AWS sem realizar o procedimento de recuperação de Conta da AWS. Se um dispositivo de MFA for perdido ou roubado, ele deverá ser desassociado da entidade principal do IAM ao qual está associado.
O uso de vários MFA permite que seus funcionários em locais geograficamente distribuídos ou trabalhando remotamente usem MFA baseada em hardware para acessar a AWS sem precisar coordenar a troca física de um único dispositivo de hardware entre funcionários.
O uso de dispositivos MFA adicionais para entidades principais do IAM permite que você use um ou mais MFAs para uso diário, além de manter os dispositivos físicos de MFA em um local físico seguro, como um cofre, para fins de backup e redundância.

Observações

Você não pode transmitir as informações de MFA de uma chave de segurança FIDO para operações de API do AWS STS para solicitar credenciais temporárias.
Você não pode usar comandos da AWS CLI ou operações de API da AWS para habilitar chaves de segurança FIDO.
Não é possível usar o mesmo nome para mais de um dispositivo raiz ou MFA do IAM.

Recursos adicionais

Os recursos a seguir podem ajudar você a saber mais sobre a MFA do IAM.

Para obter mais informações sobre como usar a MFA para acessar a AWS, consulte Login habilitado para MFA.
Você pode aproveitar o IAM Identity Center para habilitar o acesso seguro com MFA ao portal de acesso da AWS, às aplicações integradas do IAM Identity Center e à AWS CLI. Para obter mais informações, consulte Enable MFA in IAM Identity Center.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar o IAM com o Amazon Keyspaces

Atribuir uma chave de acesso ou uma chave de segurança