Sincronizar novamente dispositivos com MFA virtuais e de hardware

Você pode usar a AWS para sincronizar novamente seus dispositivos de autenticação multifator (MFA) virtuais e de hardware. Se o seu dispositivo não estiver sincronizado quando você tentar usá-lo, ocorrerá uma falha na tentativa de login, e o IAM solicitará que você sincronize o dispositivo novamente.

nota

As chaves de segurança FIDO não perdem a sincronia. Se uma chave de segurança FIDO for perdida ou rompida, você poderá desativá-la. Para obter instruções sobre a desativação de qualquer tipo de dispositivo MFA, consulte Para desativar um dispositivo com MFA para outro usuário do IAM (console).

Como administrador da AWS, você pode sincronizar novamente os dispositivos com MFA virtuais e de hardware dos usuários do IAM se eles perderem a sincronização.

Se o seu dispositivo com MFA de Usuário raiz da conta da AWS não estiver funcionando, você poderá sincronizar novamente o dispositivo usando o console do IAM, concluindo ou não o processo de login. Se você não conseguir ressincronizar seu dispositivo, talvez seja necessário desassociá-lo e reassociá-lo. Para obter mais informações sobre como fazer isso, consulte Desativar dispositivos MFA e Habilitar dispositivos com MFA para usuários na AWS.

Permissões obrigatórias

Para dessincronizar dispositivos com MFA virtuais ou de hardware para o usuário do IAM, você deve ter as permissões desta política. Esta política não permite que você crie ou desative um dispositivo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "BlockAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:ListMFADevices",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Sincronizar novamente dispositivos com MFA virtuais e de hardware (console do IAM)

Você pode usar o console do IAM para sincronizar novamente dispositivos com MFA virtuais e de hardware.

Para sincronizar novamente um dispositivo com MFA virtual ou de hardware para seu próprio usuário do IAM (console)

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.

   nota

   Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

2. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione Security credentials (Credenciais de segurança).

   

3. Na guia Credenciais do AWS IAM, na seção Autenticação multifator (MFA), escolha o botão de opção ao lado do dispositivo com MFA e escolha Sincronizar novamente.

4. Digite os próximos dois códigos gerados sequencialmente no dispositivo em MFA code 1 (Código MFA 1) e MFA code 2 (Código MFA 2). Em seguida, escolha Resync (Ressincronizar).

   Importante

   Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, a solicitação parecerá funcionar, mas o dispositivo permanecerá fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período.

Para sincronizar novamente um dispositivo com MFA virtual ou de hardware para outro usuário do IAM (console)

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, selecione Usuários e, em seguida, escolha o nome do usuário cujo dispositivo MFA precisa ser sincronizado novamente.

3. Selecione a guia Credenciais de segurança. Na seção Autenticação multifator (MFA), escolha o botão de opção ao lado do dispositivo com MFA e escolha Sincronizar novamente.

4. Digite os próximos dois códigos gerados sequencialmente no dispositivo em MFA code 1 (Código MFA 1) e MFA code 2 (Código MFA 2). Em seguida, escolha Resync (Ressincronizar).

   Importante

   Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, a solicitação parecerá funcionar, mas o dispositivo permanecerá fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período.

Para sincronizar novamente sua MFA de usuário raiz antes de fazer login (console)

1. Na página Amazon Web Services Sign In With Authentication Device (Login da Amazon Web Services com dispositivo de autenticação), escolha Having problems with your authentication device? (Está com problemas com seu dispositivo de autenticação?) Clique aqui.

   nota

   Você pode ver um texto diferente, como Fazer login usando MFA e Solucionar problemas do dispositivo de autenticação. No entanto, os mesmos recursos são fornecidos.

2. Na seção Re-Sync With Our Servers (Sincronizar novamente com nossos servidores), digite os próximos dois códigos gerados sequencialmente no dispositivo em MFA code 1 (Código MFA 1) e MFA code 2 (Código MFA 2). Em seguida, escolha Sincronizar novamente dispositivo de autenticação.

3. Se necessário, digite sua senha novamente e escolha Faça login. Em seguida, conclua o login usando seu dispositivo MFA.

Para sincronizar novamente seu dispositivo com MFA de usuário raiz depois de fazer login (console)

1. Faça login no console do IAM como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.

   nota

   Como usuário raiz, você não pode acessar a página Fazer login como usuário do IAM. Ao visualizar a página de login de usuário do IAM, escolha a opção Fazer login usando o e-mail de usuário raiz, próximo à parte inferior da página. Para obter ajuda para fazer login como usuário raiz, consulte Fazer login no AWS Management Console como usuário raiz no Guia do usuário do Início de Sessão da AWS.

2. No lado direito da barra de navegação, selecione seu nome de conta e selecione Credenciais de segurança. Se necessário, selecione Continue to Security credentials (Prosseguir para as credenciais de segurança).

   

3. Expanda a seção Multi-factor authentication (MFA) (Autenticação multifator (MFA)) na página.

4. Selecione o botão de opção ao lado do dispositivo e escolha Resync (Ressincronizar).

5. Na caixa de diálogo Resync MFA device (Ressincronizar dispositivo de MFA), digite os próximos dois códigos gerados sequencialmente no dispositivo em MFA code 1 (Código MFA 1) e MFA code 2 (Código MFA 2). Em seguida, escolha Resync (Ressincronizar).

   Importante

   Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA se associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período.

Sincronizar novamente dispositivos com MFA virtuais e de hardware (AWS CLI)

Você pode sincronizar novamente os dispositivos MFA virtuais e de hardware da AWS CLI.

Para sincronizar novamente um dispositivo com MFA virtual ou de hardware para um usuário do IAM (AWS CLI)

Em um prompt de comando, emita o comando aws iam resync-mfa-device:

• Dispositivo MFA virtual: especifique o nome de recurso da Amazon (ARN) do dispositivo como o número de série.

  aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654

• Dispositivo MFA de hardware: especifique o número de série do dispositivo de hardware como o número de série. O formato é específico do fornecedor. Por exemplo, você pode comprar um token gemalto da Amazon. Seu número de série geralmente tem quatro letras seguidas por quatro números.

  aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654

Importante

Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, ocorrerá falha na solicitação porque os códigos expiram após um curto período.

Sincronizar novamente dispositivos com MFA virtuais e de hardware (API da AWS)

O IAM tem uma chamada de API que executa a sincronização. Nesse caso, recomendamos que você atribua aos seus usuários de dispositivos MFA virtuais e de hardware permissão para acessar essa chamada de API. Em seguida, crie uma ferramenta com base na chamada de API que permite que seus usuários sincronizem novamente seus dispositivos sempre que precisarem.

Para sincronizar novamente um dispositivo com MFA virtual ou de hardware para um usuário do IAM (API da AWS)

• Envie a solicitação ResyncMFADevice.