Recuperar uma identidade protegida por MFA no IAM - AWS Identity and Access Management

Recuperar uma identidade protegida por MFA no IAM

Se o dispositivo de MFA virtual ou se o token de hardware TOTP estiver funcionando corretamente, mas você não conseguir usá-lo para acessar seus recursos da AWS, talvez ele não esteja sincronizado com a AWS. Para obter informações sobre a sincronização de um dispositivo MFA virtual ou de um dispositivo MFA de hardware, consulte Sincronizar novamente os dispositivos MFA virtuais e de hardware. As chaves de segurança FIDO não perdem a sincronia.

Se o dispositivo MFA para um Usuário raiz da conta da AWS for perdido, danificado ou não funcionar, você poderá recuperar o acesso à sua conta. Os usuários do IAM devem entrar em contato com um administrador para desativar o dispositivo.

Importante

Recomendamos que você ative vários dispositivos MFA. O registro de vários dispositivos MFA ajudará a garantir o acesso contínuo se um dispositivo for perdido ou quebrado. Seu Usuário raiz da conta da AWS e usuários do IAM podem registrar até oito dispositivos MFA de qualquer tipo.

Pré-requisito: usar outro dispositivo de MFA

Se seu dispositivo de autenticação multifator (MFA) for perdido, danificado ou não estiver funcionando, você poderá fazer login usando outro dispositivo de MFA registrado no mesmo usuário raiz ou usuário do IAM.

Para iniciar sessão usando outro dispositivo de MFA
  1. Inicie sessão no AWS Management Console com o ID da sua Conta da AWS ou alias e senha da conta.

  2. Na página Verificação adicional necessária ou na página Autenticação multifator, escolha Tentar outro método de MFA.

  3. Faça a autenticação com o tipo de dispositivo de MFA que você selecionou.

  4. A próxima etapa será diferente dependendo de você ter conseguido iniciar sessão com um dispositivo de MFA alternativo.

Recuperar um dispositivo com MFA de usuário raiz

Se você não conseguir iniciar sessão com o seu dispositivo de MFA, poderá usar métodos de autenticação alternativos comprovando sua identidade usando o e-mail e o telefone registrados na sua conta.

Confirme se você consegue acessar o e-mail e o número de telefone de contato principal associados à sua conta antes de usar fatores de autenticação alternativos para fazer login como usuário-raiz. Se você precisar atualizar o telefone de contato principal, faça login como usuário do IAM com acesso de Administrador em vez de usuário-raiz. Para obter instruções adicionais sobre como atualizar as informações de contato da conta, consulte Editar informações de contato no Guia do usuário do AWS Billing. Caso não tenha acesso a um e-mail e telefone de contato principal, fale com o AWS Support.

Importante

Recomendamos manter atualizados o endereço de e-mail e o telefone de contato vinculados a seu usuário raiz para ter uma recuperação da conta bem-sucedida. Para obter mais informações, consulte Atualizar seu contato principal na sua Conta da AWS no Guia de Referência do AWS Account Management.

Para fazer login usando fatores alternativos de autenticação como um Usuário raiz da conta da AWS
  1. Faça login no AWS Management Console como o proprietário da conta ao escolher a opção Usuário raiz e inserir o endereço de e-mail da Conta da AWS. Na próxima página, insira sua senha.

  2. Na página Verificação adicional necessária, selecione um método de MFA para autenticação e escolha Avançar.

    nota

    Você pode ver um texto alternativo, como Sign in using MFA (Fazer login usando MFA), Troubleshoot your authentication device (Solucione o problema do dispositivo de autenticação) ou Troubleshoot MFA (Solucione o problema de MFA), mas a funcionalidade é a mesma. Se você não puder usar fatores de autenticação alternativos para verificar o endereço de e-mail e o número de telefone primário da conta, entre em contato com o AWS Support para desativar seu dispositivo de MFA.

  3. Dependendo do tipo de MFA que estiver usando, você verá uma página diferente, mas a opção Solucionar problemas de MFA funciona da mesma forma. Na página Verificação adicional necessária ou na página Autenticação multifator, escolha Solucionar problemas de MFA.

  4. Se necessário, digite sua senha novamente e escolha Conectar.

  5. Na página Solucionar problemas do dispositivo de autenticação, na seção Acesso usando fatores alternativos de autenticação, escolha Acesse usando fatores alternativos.

  6. Na página Entrar usando fatores alternativos de autenticação, autentique sua conta verificando o endereço de e-mail e escolha Enviar e-mail de verificação.

  7. Verifique o e-mail associado à sua Conta da AWS para ver se há uma mensagem da Amazon Web Services (no-reply-aws@amazon.com). Siga as orientações no e-mail.

    Se você não vir o e-mail em sua conta, verifique sua pasta de spam ou retorne para seu navegador e escolha Reenviar o e-mail.

  8. Depois de verificar seu endereço de e-mail, você pode continuar a autenticar sua conta. Para verificar seu número de telefone para contato primário, escolha Call me now (Ligar para mim agora).

  9. Atenda a ligação da AWS e, quando receber a solicitação, digite o número de 6 dígitos do site AWS no teclado do seu telefone.

    Se você não receber uma chamada de AWS, escolha Fazer login para entrar no console novamente e começar novamente. Ou consulte Lost or unusable Multi-Factor Authentication (MFA) device (Dispositivo de autenticação multifator (MFA) perdido ou inutilizado para entrar em contato com o suporte e obter ajuda.

  10. Depois de verificar o seu número de telefone, você pode fazer login na sua conta, escolhendo Fazer login no console.

  11. A próxima etapa varia dependendo do tipo de MFA que você está usando:

    • Para um dispositivo MFA virtual, remova a conta do seu dispositivo. Em seguida, vá para a página AWS Security Credentials (Credenciais de segurança da AWS) e exclua a entidade do dispositivo com MFA virtual antiga antes de criar uma nova.

    • Para obter uma chave de segurança FIDO, acesse a página Credenciais de segurança da AWS e desative a chave FIDO antiga antes de habilitar uma nova.

    • Para um token de hardware TOTP, fale com o provedor de terceiros para obter ajuda para corrigir ou substituir o dispositivo. Você pode continuar a fazer login usando fatores alternativos de autenticação até que você receba o novo dispositivo. Depois que tiver o novo dispositivo MFA de hardware, acesse a página Credenciais de segurança da AWS e exclua o dispositivo MFA antigo.

    nota

    Você não precisa substituir um dispositivo MFA perdido ou roubado pelo mesmo tipo de dispositivo. Por exemplo, se você quebrar a chave de segurança FIDO e solicitar uma nova, poderá usar um dispositivo MFA virtual ou um token de hardware TOTP até receber uma nova chave de segurança FIDO.

Importante

Se seu dispositivo MFA estiver perdido ou tiver sido roubado, altere a senha de usuário-raiz depois de iniciar sessão e estabelecer seu dispositivo MFA substituto. Um invasor pode ter roubado o dispositivo de autenticação e também pode ter sua senha atual. Para ter mais informações, consulte Alterar a senha para o Usuário raiz da conta da AWS.

Recuperar um dispositivo com MFA de usuário do IAM

Se você for um usuário do IAM que não consegue iniciar sessão com MFA, não poderá recuperar um dispositivo de MFA por conta própria. Entre em contato com o administrador para desativar o dispositivo. Depois você poderá habilitar um novo dispositivo.

Para obter ajuda para um dispositivo MFA associado a um usuário do IAM
  1. Entre em contato com o administrador da AWS ou outra pessoa que forneceu a você o nome de usuário e a senha para o usuário do IAM. O administrador deve desativar o dispositivo MFA, como descrito em Desativar um dispositivo com MFA para que você possa se conectar.

  2. A próxima etapa varia dependendo do tipo de MFA que você está usando:

    nota

    Você não precisa substituir um dispositivo MFA perdido ou roubado pelo mesmo tipo de dispositivo. É possível ter até oito dispositivos de MFA de qualquer combinação. Por exemplo, se você quebrar a chave de segurança FIDO e solicitar uma nova, poderá usar um dispositivo MFA virtual ou um token de hardware TOTP até receber uma nova chave de segurança FIDO.

  3. Se seu dispositivo MFA foi perdido ou roubado, também altere sua senha no caso de um invasor ter roubado o dispositivo de autenticação e tenha também sua senha atual. Para ter mais informações, consulte Gerenciar senhas para usuários do IAM.