Habilitar uma chave de segurança FIDO (console)
As chaves de segurança FIDO são um tipo de dispositivo de autenticação multifator (MFA) que você pode usar para proteger seus recursos da AWS. Você conecta a chave de segurança FIDO a uma porta USB do computador e a habilita usando as instruções a seguir. Depois de habilitá-la, você tocará nela quando solicitado para concluir com segurança o processo de login. Se você já usar uma chave de segurança FIDO com outros serviços e se ela tiver uma configuração compatível com a AWS (por exemplo, a YubiKey 5 Series da Yubico), também poderá usá-la com a AWS. Caso contrário, será necessário comprar uma chave de segurança FIDO se você quiser usar o WebAuthn for MFA na AWS. Além disso, as chaves de segurança FIDO podem comportar vários usuários do IAM ou raízes no mesmo dispositivo, o que aumenta sua utilidade para proteção da conta. Para especificações e informações sobre aquisição para ambos os tipos de dispositivo, consulte Autenticação multifator
FIDO2 é um padrão aberto de autenticação e uma extensão do FIDO U2F, oferecendo o mesmo alto nível de segurança com base em criptografia de chave pública. FIDO2 consiste na especificação W3C Web Authentication (API do WebAuthn) e no Client-to-Authentication Protocol (CTAP), um protocolo da camada de aplicação. O CTAP permite a comunicação entre cliente ou plataforma, como um navegador ou sistema operacional, e um autenticador externo. Quando você habilita um autenticador certificado pela FIDO na AWS, a chave de segurança FIDO cria um novo par de chaves para uso somente na AWS. Primeiro, você insere suas credenciais. Quando solicitado, você toca na chave de segurança FIDO, que responde ao desafia de autenticação emitido pela AWS. Para saber mais sobre o padrão FIDO2, consulte Projeto FIDO2
Você pode registrar até oito dispositivos de MFA de qualquer combinação dos tipos de MFA atualmente compatíveis
nota
Recomendamos exigir que seus usuários humanos usem credenciais temporárias ao acessar a AWS. Seus usuários podem federar-se à AWS com um provedor de identidade, onde se autenticam usando suas credenciais corporativas e configurações de MFA. Para gerenciar o acesso à AWS e a aplicações empresariais, recomendamos usar o Centro de Identidade do IAM. Para obter mais informações, consulte o Guia do usuário do Centro de Identidade do IAM.
Tópicos
Permissões obrigatórias
Para gerenciar uma chave de segurança FIDO para seu próprio usuário do IAM enquanto protege as ações confidenciais relacionadas à MFA, você deve ter as permissões da seguinte política:
nota
Os valores de ARN são valores estáticos e não são um indicador do protocolo usado para registrar o autenticador. Descontinuamos o U2F, então todas as novas implementações usam o WebAuthn.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }
Habilitar uma chave de segurança FIDO para seu próprio usuário do IAM (console)
Você só pode habilitar uma chave de segurança FIDO para seu próprio usuário do IAM no AWS Management Console, não na AWS CLI ou na API da AWS.
nota
Para poder habilitar uma chave de segurança FIDO, você deve ter acesso físico ao dispositivo.
nota
Você não deve escolher nenhuma das opções disponíveis no pop-up do Goggle Chrome que solicite Verify your identity with amazon.com (Confirmar sua identidade na amazon.com). Você só precisa tocar na chave de segurança.
Para habilitar uma chave de segurança FIDO para seu próprio usuário do IAM (console)
-
Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM
. nota
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.
Para obter o ID da Conta da AWS, fale com o administrador.
-
No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione Security credentials (Credenciais de segurança).
-
Na guia Credenciais do AWS IAM, na seção Autenticação multifator (MFA), escolha Atribuir dispositivo com MFA.
-
No assistente, digite um Device name (Nome de dispositivo), escolha Security Key (Chave de segurança) e escolha Next (Avançar).
-
Insira a chave de segurança FIDO na porta USB do computador.
-
Toque na chave de segurança FIDO.
A chave de segurança FIDO está pronta para ser usada com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.
Habilitar uma chave de segurança FIDO para outro usuário do IAM (console)
Você só pode habilitar uma chave de segurança FIDO para outro usuário do IAM no AWS Management Console, não na AWS CLI ou na API da AWS.
Para habilitar uma chave de segurança FIDO para outro usuário do IAM (console)
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Usuários.
-
Selecione o nome do usuário para o qual deseja habilitar a MFA.
-
Selecione a guia Security Credentials (Credenciais de segurança). Em Multi-Factor Authentication (MFA) (autenticação multifator [MFA]), escolha Assign MFA device (Atribuir dispositivo de MFA).
-
No assistente, digite um Device name (Nome de dispositivo), escolha Security Key (Chave de segurança) e escolha Next (Avançar).
-
Insira a chave de segurança FIDO na porta USB do computador.
-
Toque na chave de segurança FIDO.
A chave de segurança FIDO está pronta para ser usada com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.
Substituir uma chave de segurança FIDO
Você pode ter até oito dispositivos com MFA de qualquer combinação dos tipos de MFA atualmente compatíveis
-
Para desativar o dispositivo associado no momento a um usuário do IAM, consulte Desativar dispositivos MFA.
-
Para adicionar uma nova chave de segurança FIDO para um usuário do IAM, consulte Habilitar uma chave de segurança FIDO para seu próprio usuário do IAM (console).
Se você não tiver acesso a uma nova chave de segurança FIDO, poderá ativar um novo dispositivo de MFA virtual ou um token de hardware TOTP. Consulte um dos tópicos a seguir para obter instruções: