Habilitar uma chave de segurança FIDO (console) - AWS Identity and Access Management

Habilitar uma chave de segurança FIDO (console)

As chaves de segurança FIDO são um tipo de dispositivo de MFA que você pode usar para proteger os recursos na AWS. Você conecta a chave de segurança FIDO a uma porta USB do computador e a habilita usando as instruções a seguir. Depois de habilitá-la, você tocará nela quando solicitado para concluir com segurança o processo de login. Se você já usar uma chave de segurança FIDO com outros serviços e se ela tiver uma configuração compatível com a AWS (por exemplo, a Yubikey 5 Series da Yubico), também poderá usá-la com a AWS. Caso contrário, será necessário comprar uma chave de segurança FIDO2 se você quiser usar Webauthn para MFA na AWS. Para obter as especificações e informações de compra, consulte Autenticação multifator.

FIDO2 é um padrão aberto de autenticação e uma extensão do FIDO U2F, oferecendo o mesmo alto nível de segurança com base em criptografia de chave pública. O FIDO2 consiste na especificação W3C Web Authentication (API do WebAuthn) e no Client to Authentication Protocol (CTAP), um protocolo da camada de aplicação. O CTAP permite a comunicação entre cliente ou plataforma, como um navegador ou sistema operacional, e um autenticador externo. Você pode continuar a usar dispositivos compatíveis com FIDO, como chaves de segurança FIDO U2F. Quando você habilita um autenticador compatível com FIDO na AWS, a chave de segurança FIDO cria um novo par de chaves para uso somente na AWS. Primeiro, você insere suas credenciais. Quando solicitado, você toca na chave de segurança FIDO, que responde ao desafia de autenticação emitido pela AWS. Para saber mais sobre o padrão FIDO2, consulte Projeto FIDO2.

Você pode habilitar um dispositivo com MFA (de qualquer tipo) por usuário raiz ou usuário do IAM.

Permissões obrigatórias

Para gerenciar uma chave de segurança FIDO para seu próprio usuário do IAM enquanto protege as ações confidenciais relacionadas à MFA, você deve ter as permissões da seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Habilitar uma chave de segurança FIDO para seu próprio usuário do IAM (console)

Você só pode habilitar uma chave de segurança FIDO para seu próprio usuário do IAM no AWS Management Console, não na AWS CLI ou na API da AWS.

nota

Para poder habilitar uma chave de segurança FIDO, você deve ter acesso físico ao dispositivo.

nota

Você não deve escolher nenhuma das opções disponíveis no pop-up do Goggle Chrome que solicite Verify your identity with amazon.com (Confirmar sua identidade na amazon.com). Você só precisa tocar na chave de segurança.

Para habilitar uma chave de segurança FIDO para seu próprio usuário do IAM (console)

  1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.

    nota

    Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

    Para obter o ID da conta da AWS, entre em contato com o administrador.

  2. Na barra de navegação no canto superior direito, selecione seu nome de usuário e selecione My Security Credentials (Minhas credenciais de segurança).

    
                  Link para My Security Credentials (Minhas credenciais de segurança) do Console de Gerenciamento da AWS
  3. Na guia AWS IAM credentials (Credenciais do AWS IAM), na seção Multi-factor authentication (Autenticação multifator), escolha Manage MFA device (Gerenciar dispositivo com MFA).

  4. No assistente Manage MFA device (Gerenciar dispositivo de MFA), selecione FIDO security key (Chave de segurança FIDO) e depois escolha Continue (Continuar).

  5. Insira a chave de segurança FIDO na porta USB do computador.

    
                  Chave de segurança FIDO
  6. Toque na chave de segurança FIDO2 e escolha Close (Fechar) quando a configuração for concluída.

A chave de segurança FIDO2 está pronta para ser usada com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Habilitar uma chave de segurança FIDO para outro usuário do IAM (console)

Você só pode habilitar uma chave de segurança FIDO para outro usuário do IAM no AWS Management Console, não na AWS CLI ou na API da AWS.

Para habilitar uma chave de segurança FIDO para outro usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Selecione o nome do usuário para o qual você deseja habilitar a MFA e selecione a guia Security credentials (Credenciais de segurança).

  4. Ao lado de Dispositivo MFA atribuído, escolha Gerenciar.

  5. No assistente Manage MFA device (Gerenciar dispositivo de MFA), selecione FIDO security key (Chave de segurança FIDO) e depois escolha Continue (Continuar).

  6. Insira a chave de segurança FIDO na porta USB do computador.

    
            Chave de segurança FIDO
  7. Toque na chave de segurança FIDO e escolha Close (Fechar) quando a configuração for concluída.

A chave de segurança FIDO está pronta para ser usada com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Habilitar uma chave de segurança FIDO para o usuário raiz da conta da AWS (console)

Você só pode configurar e habilitar um dispositivo de MFA virtual para o seu usuário raiz no AWS Management Console, não na AWS CLI nem na API da AWS.

Se a sua chave de segurança FIDO for perdida, roubada ou não funcionar, você ainda poderá fazer login usando fatores de autenticação alternativos. Para saber como fazer login usando fatores alternativos de autenticação, consulte O que acontece se um dispositivo com MFA for perdido ou parar de funcionar?. Para desabilitar este recurso, entre em contato com AWS Support.

Para habilitar a chave FIDO para o usuário raiz (console)

  1. Faça login no console do IAM como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.

    nota

    Se vir três caixas de texto, significa que você já fez login no console com credenciais de usuário do IAM. Seu navegador pode se lembrar dessa preferência e abrir essa página de login específica da conta sempre que você tentar fazer login. Não é possível usar a página de login do usuário do IAM para fazer login como proprietário da conta. Se você vir a página de login de usuário do IAM, escolha a opção Sign in using root user email (Fazer login usando o e-mail de usuário raiz) perto da parte inferior da página. Isso faz você retornar à página de login principal. Nessa página, é possível fazer login como usuário raiz usando o endereço de e-mail e a senha da Conta da AWS.

  2. No lado direito da barra de navegação, selecione seu nome de conta e selecione My Security Credentials (Minhas credenciais de segurança). Se necessário, selecione Continuar para as credenciais de segurança.

    
                  Minhas credenciais de segurança no menu de navegação
  3. Expanda a seção Multi-factor authentication (MFA) (Autenticação multifator (MFA)).

  4. Selecione Gerenciar MFA ou Habilitar MFA, dependendo da opção que você escolheu na etapa anterior.

  5. No assistente, selecione FIDO security key (Chave de segurança FIDO) e depois Continue (Continuar).

  6. Insira a chave de segurança FIDO na porta USB do computador.

    
                  Chave de segurança FIDO
  7. Toque na chave de segurança FIDO e escolha Close (Fechar) quando a configuração for concluída.

A chave de segurança FIDO está pronta para ser usada com a AWS. A próxima vez que usar as credenciais de usuário raiz para fazer login, você deverá tocar na chave de segurança FIDO para concluir o processo de login.

Substituir uma chave de segurança FIDO

Você só pode ter um dispositivo de MFA (virtual, chave de segurança FIDO ou hardware) atribuído a um usuário de cada vez. Se o usuário perder um autenticador compatível com FIDO ou precisar substituí-lo por algum motivo, primeiro você deverá desativar o antigo autenticador compatível com FIDO. Em seguida, você poderá adicionar um novo dispositivo MFA para o usuário.

Se você não tiver acesso a uma nova chave de segurança FIDO, poderá ativar um novo dispositivo de MFA virtual ou um dispositivo de MFA de hardware. Consulte um dos tópicos a seguir para obter instruções: