Configurar a imposição de dispositivos de MFA - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar a imposição de dispositivos de MFA

Use o procedimento a seguir para determinar se seus usuários devem ter um dispositivo de MFA registrado ao entrar no portal de acesso AWS.

Para configurar a imposição de dispositivos de MFA para seus usuários

  1. Abra o console do IAM Identity Center.

  2. No painel de navegação à esquerda, escolha Settings.

  3. Na página Configurações, escolha a guia Autenticação.

  4. Na seção Multi-factor authentication, escolha Configure.

  5. Na página Configure multi-factor authentication, em If a user does not yet have a registered MFA device, escolha uma das seguintes opções com base nas necessidades de sua empresa:

    • Exija que eles registrem um dispositivo de MFA no login

      Essa é a configuração padrão quando você configura o MFA pela primeira vez para o IAM Identity Center. Use essa opção quando quiser exigir que os usuários que ainda não têm um dispositivo de MFA registrado inscrevam automaticamente um dispositivo durante o login após uma autenticação de senha bem-sucedida. Isso permite que você proteja os ambientes AWS da sua organização com MFA sem precisar inscrever e distribuir dispositivos de autenticação individualmente para seus usuários. Durante a autoinscrição, seus usuários podem registrar qualquer dispositivo a partir dos Tipos de MFA disponíveis para o IAM Identity Center disponíveis que você ativou anteriormente. Depois de concluir o registro, os usuários têm a opção de dar um nome amigável ao dispositivo de MFA recém-inscrito, após o qual o IAM Identity Center redireciona o usuário para o destino original. Se o dispositivo do usuário for perdido ou roubado, você pode simplesmente remover esse dispositivo da conta, e o IAM Identity Center exigirá que ele inscreva automaticamente um novo dispositivo durante o próximo login.

    • Exija que eles forneçam uma senha única enviada por e-mail para fazer login

      Use essa opção quando quiser que os códigos de verificação sejam enviados aos usuários por e-mail. Como o e-mail não está vinculado a um dispositivo específico, essa opção não atende aos padrões da autenticação multifator padrão do setor. Mas isso melhora a segurança do que ter apenas uma senha. A verificação por e-mail só será solicitada se o usuário não tiver registrado um dispositivo de MFA. Se o método de autenticação Context-aware tiver sido ativado, o usuário terá a oportunidade de marcar o dispositivo no qual recebeu o e-mail como confiável. Posteriormente, eles não precisarão verificar um código de e-mail em futuros logins a partir dessa combinação de dispositivo, navegador e endereço IP.

      nota

      Se você estiver usando o Active Directory como sua fonte de identidade habilitada para o IAM Identity Center, o endereço de e-mail sempre será baseado no email atributo do Active Directory. Os mapeamentos personalizados de atributos do Active Directory não substituirão esse comportamento.

    • Block their sign-in

      Use a opção Block Their Sign-In quando quiser impor o uso de MFA por todos os usuários antes que eles possam fazer login em AWS.

      Importante

      Se seu método de autenticação estiver definido como Context-aware, um usuário poderá marcar a caixa de seleção Este é um dispositivo confiável na página de login. Nesse caso, esse usuário não receberá uma solicitação de MFA, mesmo que você tenha a configuração Block their sign in ativada. Se você quiser que esses usuários sejam avisados, altere seu método de autenticação para Always On.

    • Permita que eles façam login

      Use essa opção para indicar que os dispositivos de MFA não são necessários para que seus usuários entrem no portal de acesso AWS. Os usuários que optarem por registrar dispositivos de MFA ainda receberão uma solicitação de MFA.

  6. Escolha Save changes.