Habilitar um dispositivo de autenticação multifator (MFA) virtual (console) - AWS Identity and Access Management

Habilitar um dispositivo de autenticação multifator (MFA) virtual (console)

É possível usar um telefone ou outro dispositivo como um dispositivo de autenticação multifator (MFA) virtual. Para fazer isso, instale um aplicativo móvel compatível com RFC 6238, um algoritmo TOTP (senha única baseada em tempo) baseado em padrões. Esses aplicativos geram um código de autenticação de seis dígitos. Como eles podem ser executados em dispositivos móveis não seguros, a MFA virtual talvez não forneça o mesmo nível de segurança de dispositivos U2F ou dispositivos MFA de hardware. Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware.

A maioria dos aplicativos de MFA virtual oferece suporte à criação de vários dispositivos virtuais, permitindo usar o mesmo aplicativo para várias contas ou usuários da AWS. No entanto, você só pode habilitar um dispositivo MFA por usuário.

Para obter uma lista de aplicativos de MFA virtual que você pode usar, consulte Autenticação multifator. Observe que a AWS exige um aplicativo MFA virtual que produz uma OTP de seis dígitos.

Permissões obrigatórias

Para gerenciar dispositivos com MFA virtuais para o usuário do IAM, você deve ter as permissões na seguinte política: AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos com MFA na página My security credentials (Minhas credenciais de segurança).

Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)

Você pode usar o IAM no AWS Management Console para habilitar e gerenciar um dispositivo com MFA virtual para um usuário do IAM em sua conta. Você pode associar tags aos seus recursos do IAM, incluindo dispositivos MFA virtuais, para identificar, organizar e controlar o acesso a eles. Os dispositivos MFA virtuais só podem ser marcados quando você usa a AWS CLI ou a API da AWS. Para habilitar e gerenciar um dispositivo MFA usando a AWS CLI ou a API da AWS, consulte Habilitar e gerenciar dispositivos MFA virtuais (AWS CLI ou API da AWS). Para saber mais sobre como etiquetar recursos do IAM, consulte Recursos de etiquetas do IAM.

nota

Você deve ter acesso físico ao hardware que hospedará o dispositivo MFA virtual do usuário para configurar a MFA. Por exemplo, você pode configurar a MFA para um usuário que usa um dispositivo MFA virtual executando em um smartphone. Neste caso, você precisa que o smartphone esteja disponível para concluir o assistente. Por isso, você pode optar por permitir que os usuários configurem e gerenciem seus próprios dispositivos MFA virtual. Neste caso, você deve conceder aos usuários as permissões para executar as ações necessárias do IAM. Para obter mais informações e para ver um exemplo de uma política do IAM que concede essas permissões, consulte AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos com MFA na página My security credentials (Minhas credenciais de segurança).

Para habilitar um dispositivo com MFA virtual para um usuário do IAM (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Na lista Nome do usuário, selecione o nome do usuário de MFA desejado.

  4. Selecione a guia Credenciais de segurança. Ao lado de Dispositivo MFA atribuído, escolha Gerenciar.

  5. No assistente Gerenciar dispositivo MFA, selecione Dispositivo MFA virtual e, em seguida, selecione Continuar.

    O IAM gera e exibe informações de configuração para o dispositivo com MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da "chave de configuração secreta" que está disponível para entrada manual em dispositivos que não suportam códigos QR.

  6. Abra o seu aplicativo de MFA virtual. Para obter uma lista de aplicativos que você pode usar para hospedar dispositivos MFA virtuais, consulte Autenticação multifator.

    Se o aplicativo de MFA virtual oferecer suporte a vários dispositivos ou contas de MFA virtual, selecione a opção para criar uma conta ou um dispositivo MFA virtual.

  7. Determine se o aplicativo de MFA é compatível com códigos QR e, em seguida, execute uma das seguintes ações:

    • No assistente, escolha Mostrar código de QR e, em seguida, use o app para digitalizar o código de QR. Por exemplo, você pode escolher o ícone de câmera ou escolher uma opção semelhante a Digitalizar código e, em seguida, usar a câmera do dispositivo para digitalizar o código.

    • No assistente Gerenciar dispositivo MFA, selecione Mostrar chave secreta e, em seguida, digite a chave secreta em seu aplicativo MFA.

    Quando você tiver concluído, o dispositivo MFA virtual inicia a geração de senhas de uso único.

  8. No assistente Gerenciar dispositivo MFA, na caixa Código MFA 1, digite a senha de uso único que atualmente é exibida no dispositivo MFA virtual. Espere até 30 segundos para que o dispositivo gere uma nova senha de uso único. Em seguida, digite a segunda senha de uso único na caixa Código MFA 2. Escolha Atribuir MFA.

    Importante

    Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

O dispositivo MFA virtual está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Habilitar um dispositivo MFA virtual para o usuário raiz de sua conta da AWS (console)

Você pode usar o AWS Management Console para configurar e habilitar um dispositivo com MFA virtual para seu usuário raiz. Para habilitar dispositivos com MFA para a conta da AWS, você deve estar conectado à AWS usando suas credenciais de usuário raiz.

Antes de habilitar a MFA para seu usuário raiz, revise as configurações da sua conta e as informações de contato para verificar se você tem acesso ao e-mail e ao número de telefone. Se o dispositivo com MFA for perdido, roubado ou não estiver funcionando, você ainda poderá fazer login como usuário raiz verificando sua identidade usando esse e-mail e número de telefone. Para saber como fazer login usando esses fatores alternativos de autenticação, consulte O que acontece se um dispositivo com MFA for perdido ou parar de funcionar?.

Para configurar e habilitar um dispositivo com MFA virtual para uso com seu usuário raiz (console)

  1. Faça login no AWS Management Console.

  2. No lado direito da barra de navegação, selecione o nome da conta e selecione My Security Credentials (Minhas credenciais de segurança). Se necessário, selecione Continuar para as credenciais de segurança. Então, expanda a seção Multi-Factor Authentication (MFA) na página.

    
                  Minhas credenciais de segurança no menu de navegação
  3. Selecione Activate MFA (Ativar MFA).

  4. No assistente selecione Dispositivo MFA virtual e, em seguida, selecione Continuar.

    O IAM gera e exibe informações de configuração para o dispositivo com MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da chave de configuração secreta que está disponível para entrada manual em dispositivos que não suportam códigos de QR.

  5. Abra o aplicativo MFA virtual no dispositivo.

    Se o aplicativo de MFA virtual oferecer suporte a vários dispositivos ou contas de MFA virtual, selecione a opção para criar uma conta ou um dispositivo MFA virtual.

  6. A maneira mais fácil de configurar o aplicativo é usar o aplicativo para digitalizar o código QR. Se você não puder digitalizar o código, é possível digitar as informações de configuração manualmente. O código QR e a chave de configuração secreta gerados pelo IAM estão vinculados à sua conta da AWS e não podem ser usados com outra conta. Entretanto, eles podem ser reutilizados para configurar um novo dispositivo MFA para a sua conta caso você perca acesso ao dispositivo MFA original.

    • Para usar o código de QR para configurar o dispositivo MFA virtual, no assistente, escolha Mostrar código de QR. Em seguida, siga as instruções do app para digitalizar o código. Por exemplo, pode ser necessário selecionar o ícone de câmera ou escolher um comando como Scan account barcode (Digitalizar código de barras da conta) e usar a câmera do dispositivo para digitalizar o código QR.

    • No assistente Gerenciar dispositivo MFA, selecione Mostrar chave secreta e, em seguida, digite a chave secreta em seu aplicativo MFA.

    Importante

    Faça um backup seguro do código QR ou da chave de configuração secreta, ou certifique-se de habilitar vários dispositivos MFA virtual para sua conta. Um dispositivo MFA virtual pode se tornar indisponível, por exemplo, se você perder o smartphone onde o dispositivo MFA virtual está hospedado. Se isso acontecer e você não conseguir fazer login em sua conta ao Recuperar um dispositivo com MFA de usuário raiz, você não poderá fazer login em sua conta e terá que entrar em contato com o atendimento ao cliente para remover a proteção de MFA da conta.

    O dispositivo começa a gerar números de seis dígitos.

  7. No assistente Manage MFA Device (Gerenciar dispositivo MFA), na caixa MFA Code 1 (Código MFA 1), insira o número de seis dígitos exibido no momento pelo dispositivo MFA. Aguarde até 30 segundos enquanto o dispositivo gera um novo número e, então, digite o novo número de seis dígitos na caixa Código MFA 2.

    Importante

    Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

  8. Escolha Atribuir MFA e, em seguida, escolha Concluir.

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Uso de dispositivos com MFA com sua página de login do IAM.

Substituir ou "alternar" um dispositivo MFA virtual

Você pode ter apenas um dispositivo MFA atribuído a um usuário por vez. Se o usuário perde um dispositivo ou precisa substituí-lo por algum motivo, você deve primeiro desativar o dispositivo antigo. Em seguida, você pode adicionar o novo dispositivo para o usuário.