Permissões obrigatórias Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)Substituir um dispositivo de MFA virtual

Habilitar um dispositivo de autenticação multifator (MFA) virtual (console)

É possível usar um telefone ou outro dispositivo como um dispositivo de autenticação multifator (MFA) virtual. Para fazer isso, instale um aplicativo móvel compatível com RFC 6238, um algoritmo TOTP (senha única baseada em tempo) baseado em padrões. Essas aplicações geram um código de autenticação de seis dígitos. Como eles podem ser executados em dispositivos móveis não protegidos, a MFA virtual talvez não forneça o mesmo nível de segurança de chaves de segurança FIDO. Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware.

A maioria das aplicações de MFA virtual oferece suporte à criação de vários dispositivos virtuais, permitindo usar a mesma aplicação para várias Contas da AWS ou usuários. Você pode registrar até oito dispositivos com MFA de qualquer combinação dos tipos de MFA atualmente compatíveis com seu Usuário raiz da conta da AWS e usuários do IAM. Com vários dispositivos de MFA, basta um dispositivo de MFA para acessar o AWS Management Console ou criar uma sessão pela AWS CLI como esse usuário. Recomendamos que você registre vários dispositivos de MFA. Para aplicações autenticadoras, também recomendamos habilitar o atributo de backup ou de sincronização na nuvem para ajudar a evitar a perda de acesso à sua conta caso você perca ou quebre o dispositivo que contém as aplicações autenticadoras.

Para obter uma lista das aplicações de MFA que você pode usar, consulte Autenticação multifator. A AWS exige uma aplicação de MFA que gere uma senha para uso único (OTP) com seis dígitos.

Tópicos

Permissões obrigatórias
Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)
Substituir um dispositivo de MFA virtual

Permissões obrigatórias

Para gerenciar dispositivos com MFA virtuais para o usuário do IAM, você deve ter as permissões na seguinte política: AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos de MFA na página Credenciais de segurança.

Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)

Você pode usar o IAM no AWS Management Console para habilitar e gerenciar um dispositivo com MFA virtual para um usuário do IAM em sua conta. Você pode associar tags aos seus recursos do IAM, incluindo dispositivos MFA virtuais, para identificar, organizar e controlar o acesso a eles. Os dispositivos MFA virtuais só podem ser marcados quando você usa a AWS CLI ou a API da AWS. Para habilitar e gerenciar um dispositivo MFA usando a AWS CLI ou a API da AWS, consulte Habilitar e gerenciar dispositivos MFA virtuais (AWS CLI ou API da AWS). Para obter mais informações sobre recursos de marcação do IAM, consulte Recursos de etiquetas do IAM.

nota

Você deve ter acesso físico ao hardware que hospedará o dispositivo MFA virtual do usuário para configurar a MFA. Por exemplo, você pode configurar a MFA para um usuário que usa um dispositivo MFA virtual executando em um smartphone. Neste caso, você precisa que o smartphone esteja disponível para concluir o assistente. Por isso, você pode optar por permitir que os usuários configurem e gerenciem seus próprios dispositivos MFA virtual. Neste caso, você deve conceder aos usuários as permissões para executar as ações necessárias do IAM. Para obter mais informações e ver um exemplo de política do IAM que concede essas permissões, consulte Tutorial do IAM: Permitir que os usuários gerenciem suas credenciais e configurações de MFA e a política de exemplo AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos de MFA na página Credenciais de segurança.

Para habilitar um dispositivo com MFA virtual para um usuário do IAM (console)

Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Usuários.
Na lista Usuários, escolha o nome de usuário do IAM.
Selecione a guia Security Credentials (Credenciais de segurança). Em Multi-Factor Authentication (MFA) (autenticação multifator [MFA]), escolha Assign MFA device (Atribuir dispositivo de MFA).
No assistente, digite um Nome de dispositivo, escolha Aplicação de autenticador e escolha Próximo.

O IAM gera e exibe informações de configuração para o dispositivo com MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da "chave de configuração secreta" que está disponível para entrada manual em dispositivos que não suportam códigos QR.
Abra o seu aplicativo de MFA virtual. Para obter uma lista de aplicativos que você pode usar para hospedar dispositivos MFA virtuais, consulte Autenticação multifator.

Se o aplicativo de MFA virtual oferecer suporte a vários dispositivos ou contas de MFA virtual, selecione a opção para criar uma conta ou um dispositivo MFA virtual.
Determine se o aplicativo de MFA é compatível com códigos QR e, em seguida, execute uma das seguintes ações:
- No assistente, escolha Mostrar código de QR e, em seguida, use o app para digitalizar o código de QR. Por exemplo, você pode escolher o ícone de câmera ou escolher uma opção semelhante a Digitalizar código e, em seguida, usar a câmera do dispositivo para digitalizar o código.
- No assistente , escolha Show secret key (Exibir chave secreta) e digite a chave secreta em sua aplicação de MFA.
Quando você tiver concluído, o dispositivo MFA virtual inicia a geração de senhas de uso único.
Na página Configurar dispositivo, na caixa Código MFA 1, digite a senha de uso único que atualmente é exibida no dispositivo MFA virtual. Espere até 30 segundos para que o dispositivo gere uma nova senha de uso único. Em seguida, digite a segunda senha de uso único na caixa Código MFA 2. Escolha Add MFA (Adicionar MFA).

Importante
Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

O dispositivo MFA virtual está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Substituir um dispositivo de MFA virtual

Você pode registrar até oito dispositivos com MFA de qualquer combinação dos tipos de MFA atualmente compatíveis com seu Usuário raiz da conta da AWS e usuários do IAM. Se o usuário perde um dispositivo ou precisa substituí-lo por algum motivo, você deve primeiro desativar o dispositivo antigo. Em seguida, você pode adicionar o novo dispositivo para o usuário.

Para desativar o dispositivo associado no momento a outro usuário do IAM, consulte Desativar dispositivos MFA.
Para adicionar um dispositivo com MFA virtual de substituição para outro usuário do IAM, siga as etapas no procedimento Habilitar um dispositivo com MFA virtual para um usuário do IAM (console) acima.
Para adicionar um dispositivo de MFA virtual de substituição para o Usuário raiz da conta da AWS, siga as etapas no procedimento Habilitar um dispositivo com MFA virtual para o Usuário raiz da conta da AWS (console).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapas gerais para a habilitação de dispositivos com MFA

Habilitar uma chave de segurança FIDO (console)