Habilitar uma chave de segurança FIDO (console) - AWS Identity and Access Management
Permissões obrigatóriasHabilitar uma chave de segurança FIDO para seu próprio usuário do IAM (console)Habilitar uma chave de segurança FIDO para outro usuário do IAM (console)Substituir uma chave de segurança FIDO

Habilitar uma chave de segurança FIDO (console)

As chaves de segurança FIDO são um tipo de dispositivo de autenticação multifator (MFA) que você pode usar para proteger seus recursos da AWS. Você conecta a chave de segurança FIDO a uma porta USB do computador e a habilita usando as instruções a seguir. Depois de habilitá-la, você tocará nela quando solicitado para concluir com segurança o processo de login. Se você já usar uma chave de segurança FIDO com outros serviços e se ela tiver uma configuração compatível com a AWS (por exemplo, a YubiKey 5 Series da Yubico), também poderá usá-la com a AWS. Caso contrário, será necessário comprar uma chave de segurança FIDO se você quiser usar o WebAuthn for MFA na AWS. Além disso, as chaves de segurança FIDO podem comportar vários usuários do IAM ou raízes no mesmo dispositivo, o que aumenta sua utilidade para proteção da conta. Para especificações e informações sobre aquisição para ambos os tipos de dispositivo, consulte Autenticação multifator. Para obter as especificações e informações de compra, consulte Autenticação multifator.

FIDO2 é um padrão aberto de autenticação e uma extensão do FIDO U2F, oferecendo o mesmo alto nível de segurança com base em criptografia de chave pública. FIDO2 consiste na especificação W3C Web Authentication (API do WebAuthn) e no Client-to-Authentication Protocol (CTAP), um protocolo da camada de aplicação. O CTAP permite a comunicação entre cliente ou plataforma, como um navegador ou sistema operacional, e um autenticador externo. Quando você habilita um autenticador certificado pela FIDO na AWS, a chave de segurança FIDO cria um novo par de chaves para uso somente na AWS. Primeiro, você insere suas credenciais. Quando solicitado, você toca na chave de segurança FIDO, que responde ao desafia de autenticação emitido pela AWS. Para saber mais sobre o padrão FIDO2, consulte Projeto FIDO2.

Você pode registrar até oito dispositivos de MFA de qualquer combinação dos tipos de MFA atualmente compatíveis com seu usuário raiz da Conta da AWS e usuários do IAM. Com vários dispositivos de MFA, basta um dispositivo de MFA para acessar o AWS Management Console ou criar uma sessão pela AWS CLI como esse usuário. Recomendamos que você registre vários dispositivos de MFA. Por exemplo, você pode registrar um autenticador incorporado e também uma chave de segurança que você mantém em um local fisicamente seguro. Se você não conseguir usar o autenticador integrado, poderá usar sua chave de segurança registrada. Para aplicações autenticadoras, também recomendamos habilitar o atributo de backup ou de sincronização na nuvem para ajudar a evitar a perda de acesso à sua conta caso você perca ou quebre o dispositivo que contém as aplicações autenticadoras.

nota

Recomendamos exigir que seus usuários humanos usem credenciais temporárias ao acessar a AWS. Seus usuários podem federar-se à AWS com um provedor de identidade, onde se autenticam usando suas credenciais corporativas e configurações de MFA. Para gerenciar o acesso à AWS e a aplicações empresariais, recomendamos usar o Centro de Identidade do IAM. Para obter mais informações, consulte o Guia do usuário do Centro de Identidade do IAM.

Tópicos

Permissões obrigatórias

Para gerenciar uma chave de segurança FIDO para seu próprio usuário do IAM enquanto protege as ações confidenciais relacionadas à MFA, você deve ter as permissões da seguinte política:

nota

Os valores de ARN são valores estáticos e não são um indicador do protocolo usado para registrar o autenticador. Descontinuamos o U2F, então todas as novas implementações usam o WebAuthn.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Habilitar uma chave de segurança FIDO para seu próprio usuário do IAM (console)

Você só pode habilitar uma chave de segurança FIDO para seu próprio usuário do IAM no AWS Management Console, não na AWS CLI ou na API da AWS.

nota

Para poder habilitar uma chave de segurança FIDO, você deve ter acesso físico ao dispositivo.

nota

Você não deve escolher nenhuma das opções disponíveis no pop-up do Goggle Chrome que solicite Verify your identity with amazon.com (Confirmar sua identidade na amazon.com). Você só precisa tocar na chave de segurança.

Para habilitar uma chave de segurança FIDO para seu próprio usuário do IAM (console)

  1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.

    nota

    Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

    Para obter o ID da Conta da AWS, fale com o administrador.

  2. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione Security credentials (Credenciais de segurança).

    Link das credenciais de segurança do AWS Management Console

  3. Na guia Credenciais do AWS IAM, na seção Autenticação multifator (MFA), escolha Atribuir dispositivo com MFA.

  4. No assistente, digite um Device name (Nome de dispositivo), escolha Security Key (Chave de segurança) e escolha Next (Avançar).

  5. Insira a chave de segurança FIDO na porta USB do computador.

    Chave de segurança FIDO inserida em uma porta USB

  6. Toque na chave de segurança FIDO.

A chave de segurança FIDO está pronta para ser usada com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Habilitar uma chave de segurança FIDO para outro usuário do IAM (console)

Você só pode habilitar uma chave de segurança FIDO para outro usuário do IAM no AWS Management Console, não na AWS CLI ou na API da AWS.

Para habilitar uma chave de segurança FIDO para outro usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Selecione o nome do usuário para o qual deseja habilitar a MFA.

  4. Selecione a guia Security Credentials (Credenciais de segurança). Em Multi-Factor Authentication (MFA) (autenticação multifator [MFA]), escolha Assign MFA device (Atribuir dispositivo de MFA).

  5. No assistente, digite um Device name (Nome de dispositivo), escolha Security Key (Chave de segurança) e escolha Next (Avançar).

  6. Insira a chave de segurança FIDO na porta USB do computador.

    Chave de segurança FIDO inserida em uma porta USB

  7. Toque na chave de segurança FIDO.

A chave de segurança FIDO está pronta para ser usada com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Substituir uma chave de segurança FIDO

Você pode ter até oito dispositivos com MFA de qualquer combinação dos tipos de MFA atualmente compatíveis atribuídos a um usuário ao mesmo tempo com seu Usuário raiz da conta da AWS e usuários do IAM. Se o usuário perder um autenticador compatível com FIDO ou precisar substituí-lo por algum motivo, primeiro você deverá desativar o autenticador FIDO antigo. Em seguida, você poderá adicionar um novo dispositivo MFA para o usuário.

Se você não tiver acesso a uma nova chave de segurança FIDO, poderá ativar um novo dispositivo de MFA virtual ou um token de hardware TOTP. Consulte um dos tópicos a seguir para obter instruções: