Habilitar um dispositivo com MFA de hardware (console) - AWS Identity and Access Management

Habilitar um dispositivo com MFA de hardware (console)

O dispositivo MFA de hardware gera um código numérico de seis dígitos com base em um algoritmo de senha única sincronizado com o tempo. O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo; um usuário não pode digitar um código no dispositivo de outro usuário para ser autenticado.

Dispositivos MFA de hardware echaves de segurança U2F são dispositivos físicos que você compra. A diferença é que dispositivos MFA de hardware geram um código que você visualiza e, em seguida, insere quando solicitado ao fazer login na AWS. Com uma chave de segurança U2F, você não vê ou digita um código de autenticação. Em vez disso, a chave de segurança U2F gera uma resposta sem apresentá-la para o usuário e o serviço a valida. Para especificações e informações sobre aquisição para ambos os tipos de dispositivo, consulte Autenticação multifator.

Você pode habilitar um dispositivo com MFA de hardware para um usuário do IAM do AWS Management Console, da linha de comando ou da API do IAM. Para habilitar um dispositivo com MFA para o usuário raiz da sua Conta da AWS, consulte Habilitar um dispositivo com MFA de hardware para o usuário raiz da conta da AWS (console).

Você pode habilitar um dispositivo com MFA (de qualquer tipo) por usuário raiz ou usuário do IAM.

nota

Se você deseja habilitar o dispositivo na linha de comando, use iam-userenablemfadevice aws iam enable-mfa-device. Para habilitar o dispositivo com MFA com a API do IAM, use a operação EnableMFADevice.

Permissões obrigatórias

Para gerenciar um dispositivo com MFA de hardware para o seu próprio usuário do IAM ao proteger ações confidenciais relacionadas à MFA, você deve ter as permissões na seguinte política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

Habilitar um dispositivo com MFA de hardware para seu próprio usuário do IAM (console)

Você pode habilitar seu próprio dispositivo MFA de hardware no AWS Management Console.

nota

Para poder habilitar um dispositivo MFA de hardware, você deve ter acesso físico ao dispositivo.

Para habilitar um dispositivo com MFA de hardware para seu próprio usuário do IAM (console)

  1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.

    nota

    Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

    Para obter o ID da conta da AWS, entre em contato com o administrador.

  2. Na barra de navegação no canto superior direito, selecione seu nome de usuário e selecione My Security Credentials (Minhas credenciais de segurança).

    
                  AWSLink para My Security Credentials (Minhas credenciais de segurança) do Console de Gerenciamento da
  3. Na guia AWS IAM credentials (Credenciais do AWS IAM), na seção Multi-factor authentication (Autenticação multifator), escolha Manage MFA device (Gerenciar dispositivo com MFA).

  4. No assistente Manage MFA device (Gerenciar dispositivo MFA), selecione Hardware MFA device (Dispositivo MFA de hardware) e selecione Continue (Continuar).

  5. Digite o número de série do dispositivo. O número de série é geralmente encontrado na parte de trás do dispositivo.

  6. Na caixa MFA code 1 (Código MFA 1), digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.

    
                  Painel do IAM, dispositivo MFA
  7. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa MFA code 2 (Código MFA 2). Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

  8. Escolha Atribuir MFA.

    Importante

    Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Habilitar um dispositivo com MFA de hardware para outro usuário do IAM (console)

Você pode habilitar um dispositivo com MFA de hardware para outro usuário do IAM no AWS Management Console.

Para habilitar um dispositivo com MFA de hardware para outro usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Selecione o nome do usuário para o qual você deseja habilitar a MFA e selecione a guia Security credentials (Credenciais de segurança).

  4. Ao lado de Dispositivo MFA atribuído, escolha Gerenciar.

  5. No assistente Manage MFA device (Gerenciar dispositivo MFA), selecione Hardware MFA device (Dispositivo MFA de hardware) e selecione Continue (Continuar).

  6. Digite o número de série do dispositivo. O número de série é geralmente encontrado na parte de trás do dispositivo.

  7. Na caixa MFA code 1 (Código MFA 1), digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.

    
            Painel do IAM, dispositivo MFA
  8. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa MFA code 2 (Código MFA 2). Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

  9. Escolha Atribuir MFA.

    Importante

    Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Habilitar um dispositivo com MFA de hardware para o usuário raiz da conta da AWS (console)

Você pode configurar e habilitar um dispositivo com MFA virtual para o seu usuário raiz somente no AWS Management Console, não na AWS CLI nem na API da AWS.

Se o seu dispositivo MFA for perdido, roubado ou não funcionar, você ainda poderá fazer login usando fatores alternativos de autenticação. Se você não puder fazer login com o seu dispositivo MFA, poderá fazer login verificando sua identidade usando o e-mail e telefone registrados na conta. Antes de habilitar a MFA para seu usuário raiz, revise as configurações da sua conta e as informações de contato para verificar se você tem acesso ao e-mail e ao número de telefone. Para saber como fazer login usando fatores alternativos de autenticação, consulte O que acontece se um dispositivo com MFA for perdido ou parar de funcionar?. Para desabilitar este recurso, entre em contato com AWS Support.

nota

Você pode ver um texto diferente, como Fazer login usando MFA e Solucionar problemas do dispositivo de autenticação. No entanto, os mesmos recursos são fornecidos. Em ambos os casos, se você não puder verificar o endereço de e-mail e o número de telefone de sua conta usando fatores alternativos de autenticação, entre em contato com o AWS Support para desativar sua configuração de MFA.

Para habilitar o dispositivo MFA para seu usuário raiz (console)

  1. Faça login no console do IAM como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.

    nota

    Se vir três caixas de texto, significa que você já fez login no console com credenciais de usuário do IAM. Seu navegador pode se lembrar dessa preferência e abrir essa página de login específica da conta sempre que você tentar fazer login. Não é possível usar a página de login do usuário do IAM para fazer login como proprietário da conta. Se você vir a página de login de usuário do IAM, escolha a opção Sign in using root user email (Fazer login usando o e-mail de usuário raiz) perto da parte inferior da página. Isso faz você retornar à página de login principal. Nessa página, é possível fazer login como usuário raiz usando o endereço de e-mail e a senha da Conta da AWS.

  2. No lado direito da barra de navegação, selecione seu nome de conta e selecione My Security Credentials (Minhas credenciais de segurança). Se necessário, selecione Continuar para as credenciais de segurança.

    
                  Minhas credenciais de segurança no menu de navegação
  3. Expanda a seção Multi-factor authentication (MFA) (Autenticação multifator (MFA)).

  4. Selecione Gerenciar MFA ou Habilitar MFA, dependendo da opção que você escolheu na etapa anterior.

  5. No assistente, selecione Dispositivo MFA de hardware e, então selecione Continuar.

  6. Na caixa Serial number (Número de série), insira o número de série localizado na parte de trás do dispositivo MFA.

  7. Na caixa MFA code 1 (Código MFA 1), digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.

    
                  Painel do IAM, dispositivo MFA
  8. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa MFA code 2 (Código MFA 2). Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

  9. Escolha Atribuir MFA. O dispositivo MFA agora está associado à conta da AWS.

    Importante

    Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

    A próxima vez que você usar suas credenciais de usuário raiz para fazer login, você deve digitar um código do dispositivo MFA.

Substitua ou “alterne” um dispositivo com MFA físico

Você pode ter apenas um dispositivo MFA atribuído a um usuário por vez. Se o usuário perde um dispositivo ou precisa substituí-lo por algum motivo, você deve primeiro desativar o dispositivo antigo. Em seguida, você pode adicionar o novo dispositivo para o usuário.