Habilitar um token de hardware TOTP (console) - AWS Identity and Access Management

Habilitar um token de hardware TOTP (console)

Um token de hardware TOTP gera um código numérico de seis dígitos com base no algoritmo de senha de uso único com marcação temporal (TOTP). O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo; um usuário não pode digitar um código no dispositivo de outro usuário para ser autenticado. Os dispositivos de MFA não podem ser compartilhados entre contas ou usuários.

Os tokens de hardware TOTP e chaves de segurança FIDO são dispositivos físicos que você compra. Os dispositivos físicos de MFA geram códigos de TOTP para autenticação quando você faz login na AWS. Eles dependem de baterias, que podem precisar ser substituídas e ressincronizadas com a AWS com o passar do tempo. As chaves de segurança FIDO, que utilizam criptografia de chave pública, não requerem baterias e oferecem um processo direto de autenticação. Recomendamos o uso de chaves de segurança FIDO por sua resistência a phishing, o que as torna uma alternativa mais segura aos dispositivos de TOTP. Além disso, as chaves de segurança FIDO podem comportar vários usuários do IAM ou raízes no mesmo dispositivo, o que aumenta sua utilidade para proteção da conta. Para especificações e informações sobre aquisição para ambos os tipos de dispositivo, consulte Autenticação multifator.

Você pode habilitar um token de hardware TOTP para um usuário do IAM pelo AWS Management Console, pela linha de comando ou pela API do IAM. Para habilitar um dispositivo MFA para o Usuário raiz da conta da AWS, consulte Habilitar um token físico de TOTP para o Usuário raiz da conta da AWS (console).

Você pode registrar até oito dispositivos com MFA de qualquer combinação dos tipos de MFA atualmente compatíveis com seu Usuário raiz da conta da AWS e usuários do IAM. Com vários dispositivos de MFA, basta um dispositivo de MFA para acessar o AWS Management Console ou criar uma sessão pela AWS CLI como esse usuário.

Importante

Recomendamos habilitar vários dispositivos de MFA para que seus usuários tenham acesso contínuo à conta, caso um dispositivo de MFA seja perdido ou fique inacessível.

nota

Se quiser habilitar o dispositivo de MFA na linha de comando, use aws iam enable-mfa-device. Para habilitar o dispositivo com MFA com a API do IAM, use a operação EnableMFADevice.

Permissões obrigatórias

Para gerenciar um token de hardware TOTP para seu próprio usuário do IAM ao proteger ações confidenciais relacionadas a MFA, você deve ter as permissões na seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Habilitar um token de hardware TOTP para seu próprio usuário do IAM (console)

Você pode habilitar seu próprio token de hardware TOTP no AWS Management Console.

nota

Para poder habilitar um token de hardware TOTP, é necessário ter acesso físico ao dispositivo.

Para habilitar um token de hardware TOTP para seu próprio usuário do IAM (console)
  1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.

    nota

    Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

    Para obter o ID da Conta da AWS, fale com o administrador.

  2. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione Security credentials (Credenciais de segurança).

    Link das credenciais de segurança do AWS Management Console
  3. Na guia Credenciais do AWS IAM, na seção Autenticação multifator (MFA), escolha Atribuir dispositivo com MFA.

  4. No assistente, digite um Device name (Nome de dispositivo), escolha Hardware TOTP token (Token de hardware TOTP) e escolha Next (Avançar).

  5. Digite o número de série do dispositivo. O número de série é geralmente encontrado na parte de trás do dispositivo.

  6. Na caixa MFA code 1 (Código MFA 1), digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.

    Painel do IAM, dispositivo MFA
  7. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa MFA code 2 (Código MFA 2). Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

  8. Escolha Add MFA (Adicionar MFA).

    Importante

    Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Habilitar um token de hardware TOTP para outro usuário do IAM (console)

Você pode habilitar um token de hardware TOTP para outro usuário do IAM no AWS Management Console.

Para habilitar um token de hardware TOTP para outro usuário do IAM (console)
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Selecione o nome do usuário para o qual deseja habilitar a MFA.

  4. Selecione a guia Security Credentials (Credenciais de segurança). Em Multi-Factor Authentication (MFA) (autenticação multifator [MFA]), escolha Assign MFA device (Atribuir dispositivo de MFA).

  5. No assistente, digite um Device name (Nome de dispositivo), escolha Hardware TOTP token (Token de hardware TOTP) e escolha Next (Avançar).

  6. Digite o número de série do dispositivo. O número de série é geralmente encontrado na parte de trás do dispositivo.

  7. Na caixa MFA code 1 (Código MFA 1), digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.

    Painel do IAM, dispositivo MFA
  8. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa MFA code 2 (Código MFA 2). Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

  9. Escolha Add MFA (Adicionar MFA).

    Importante

    Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Substituir um dispositivo de MFA físico

Você pode ter até oito dispositivos com MFA de qualquer combinação dos tipos de MFA atualmente compatíveis atribuídos a um usuário ao mesmo tempo com seu Usuário raiz da conta da AWS e usuários do IAM. Se o usuário perde um dispositivo ou precisa substituí-lo por algum motivo, você deve primeiro desativar o dispositivo antigo. Em seguida, você pode adicionar o novo dispositivo para o usuário.