Recuperación de una identidad protegida por MFA en IAM
Si el dispositivo MFA virtual o el token TOTP de hardware parece funcionar correctamente, pero no puede utilizarlo para obtener acceso a sus recursos de AWS, es posible que no esté sincronizado con AWS. Para obtener más información acerca de cómo sincronizar un dispositivo de MFA virtual o físico, consulte Resincronización de dispositivos MFA de hardware y virtuales. Las claves de seguridad FIDO no pierden la sincronización.
Si el dispositivo de MFA de Usuario raíz de la cuenta de AWS se ha perdido, está averiado o no funciona, puede recuperar el acceso a su cuenta. Los usuarios de IAM deben ponerse en contacto con un administrador para desactivar el dispositivo.
importante
Le recomendamos que active varios dispositivos de MFA. El registro de varios dispositivos de MFA ayuda a garantizar el acceso continuo en caso de pérdida o rotura de un dispositivo. Los usuarios de IAM y Usuario raíz de la cuenta de AWS pueden registrar hasta ocho dispositivos de MFA de cualquier tipo.
Requisito previo: utilizar otro dispositivo de MFA
Si su dispositivo de autenticación multifactor (MFA) se pierde, se daña o no funciona, puede iniciar sesión con otro dispositivo MFA registrado para el mismo usuario raíz o usuario de IAM.
Cómo iniciar sesión con otro dispositivo de MFA
-
Inicie sesión en la AWS Management Console con su identificador de Cuenta de AWS o con el alias y la contraseña de la cuenta.
-
En la página Additional verification required o en la página Multi-factor authentication, elija Pruebe con otro método de MFA.
-
Autentíque con el tipo de dispositivo de MFA que haya seleccionado.
-
El siguiente paso varía en función de si ha iniciado sesión correctamente con un dispositivo de MFA alternativo.
-
Si ha iniciado sesión correctamente, puede Resincronización de dispositivos MFA de hardware y virtuales, lo que podría resolver el problema. Si ha perdido su dispositivo de MFA, o si el dispositivo se ha dañado, puede desactivarlo. Para obtener instrucciones sobre cómo desactivar cualquier tipo de dispositivo MFA, consulte Desactivación de un dispositivo MFA.
-
Si no puede iniciar sesión con MFA, siga los pasos de Recuperación de un dispositivo MFA de usuario raíz o Recuperación de un dispositivo MFA de usuario de IAM para recuperar su identidad protegida por MFA.
-
Recuperación de un dispositivo MFA de usuario raíz
Si no puede iniciar sesión con su dispositivo de MFA, puede utilizar métodos alternativos e iniciar sesión mediante la verificación de su identidad mediante el correo electrónico y el número de teléfono de contacto principal registrados en su cuenta.
Confirme que puede acceder al correo electrónico y al número de teléfono de contacto principal asociados a su cuenta antes de utilizar factores de autenticación alternativos a fin de iniciar sesión como usuario raíz. Si necesita actualizar el número de teléfono de contacto principal, inicie sesión como usuario de IAM con acceso de Administrador en lugar del usuario raíz. Para obtener instrucciones adicionales sobre cómo actualizar la información de contacto de la cuenta, consulte Editar la información de contacto en la Guía del usuario de AWS Billing. Si no tiene acceso a un correo electrónico ni a un número de teléfono de contacto principal, debe contactar con AWS Support
importante
Se recomienda mantener actualizados la dirección de correo electrónico y el número de teléfono de contacto vinculados al usuario raíz para recuperar la cuenta correctamente. Para obtener más información, consulte Actualizar su contacto principal para Cuenta de AWS en la Guía de referencia de AWS Account Management.
Para iniciar sesión con otros factores de autenticación como Usuario raíz de la cuenta de AWS
-
Inicie sesión en AWS Management Console
como propietario de la cuenta; para ello, elija Usuario raíz e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña. -
En la página Se requiere verificación adicional, seleccione un método de MFA con el que autenticarse y elija Siguiente.
nota
Es posible que aparezca un texto alternativo, como Sign in using MFA (Iniciar sesión con MFA), Troubleshoot your authentication device (Solucionar problemas de su dispositivo de autenticación) o Troubleshoot MFA (Solucionar problemas de MFA), pero la funcionalidad es la misma. Si no puede utilizar factores de autenticación alternativos para verificar la dirección de correo electrónico y el número de teléfono de contacto principal de su cuenta, contacte con AWS Support
a fin de desactivar su dispositivo de MFA. -
Según el tipo de MFA que utilice, verá una página diferente, pero la opción Solución de problemas de MFA funciona igual. En la página Se requiere verificación adicional o en la página Autenticación multifactor, elija Solución problemas de MFA.
-
Si se le solicita, escriba la contraseña de nuevo y elija Sign in (Inicio de sesión).
-
En la página Solución de problemas con el dispositivo de autenticación, en la sección Iniciar sesión con otros factores de autenticación, elija Iniciar sesión con otros factores.
-
En la página Iniciar sesión con otros factores de autenticación, autentique su cuenta verificando la dirección de correo electrónico y seleccione Enviar correo electrónico de verificación.
-
Busque en la bandeja del correo electrónico asociado a su Cuenta de AWS un mensaje de Amazon Web Services (no-reply-aws@amazon.com). Siga las indicaciones del correo electrónico.
Si no ve el correo electrónico en su cuenta, revise la carpeta de spam o vuelva a su navegador y seleccione Resend the email (Reenviar el correo electrónico).
-
Después de verificar su dirección de correo electrónico, podrá continuar el proceso de autenticación de la cuenta. Para verificar su número de teléfono de contacto principal, elija Call me now (Llamarme ahora).
-
Responda a la llamada de AWS y, cuando se le solicite, introduzca el número de 6 dígitos del sitio web de AWS en el teclado de su teléfono.
Si no recibe la llamada de AWS, seleccione Sign in (Iniciar sesión) para iniciar sesión de nuevo en la consola y volver a comenzar. O consulte Lost or unusable Multi-Factor Authentication (MFA) device
(Dispositivo de autenticación multifactor [MFA] perdido o inutilizado) para contactar con el servicio de asistencia técnica para obtener ayuda. -
Después de verificar su número de teléfono, podrá iniciar sesión en su cuenta. Para ello, elija Sign in to the console (Iniciar sesión en la consola).
-
El siguiente paso varía en función del tipo de MFA que utilice:
-
Si utiliza un dispositivo MFA virtual, elimine la cuenta del dispositivo. A continuación, diríjase a la página Credenciales de seguridad de AWS
y elimine la entidad de dispositivo MFA virtual antigua antes de crear una nueva. -
Para obtener una clave de seguridad FIDO, diríjase a la página Credenciales de seguridad de AWS
y desactive la clave de seguridad FIDO antigua antes de habilitar una nueva. -
En el caso de un token de TOTP de hardware, contacte con el proveedor externo para que lo ayude a reparar o sustituir el dispositivo. Puede seguir iniciando sesión a través de factores de autenticación alternativos hasta que reciba su nuevo dispositivo. Una vez que tenga su nuevo dispositivo de MFA de hardware, visite la página Credenciales de seguridad de AWS
y elimine el dispositivo de MFA antiguo.
nota
No es necesario reemplazar un dispositivo MFA perdido o robado con el mismo tipo de dispositivo. Por ejemplo, si se rompe la clave de seguridad FIDO y pide una nueva, puede utilizar la MFA virtual o un token de TOTP de hardware hasta que reciba una clave FIDO nueva.
-
importante
Si su dispositivo de MFA ha desaparecido o se lo han robado, cambie la contraseña de usuario raíz después de iniciar sesión y establecer el dispositivo de MFA de reemplazo. Es posible que un atacante haya robado el dispositivo de autenticación y también tenga su contraseña actual. Para obtener más información, consulte Cambiar la contraseña para Usuario raíz de la cuenta de AWS.
Recuperación de un dispositivo MFA de usuario de IAM
Si es usuario de IAM, pero no puede iniciar sesión con MFA, no podrá recuperar un dispositivo de MFA usted mismo. Debe ponerse en contacto con un administrador para desactivar el dispositivo. Después, puede habilitar un nuevo dispositivo.
Para obtener ayuda relacionada con un dispositivo de MFA asociado a un usuario de IAM
-
Póngase en contacto con el administrador de AWS o cualquier otra persona que le diera el nombre de usuario y la contraseña de usuario de IAM. El administrador debe desactivar el dispositivo de MFA tal y como se describe en Desactivación de un dispositivo MFA para que pueda iniciar sesión.
-
El siguiente paso varía en función del tipo de MFA que utilice:
-
Si utiliza un dispositivo MFA virtual, elimine la cuenta del dispositivo. A continuación, active el dispositivo virtual tal y como se describe en Asignación de un dispositivo de MFA virtual en la AWS Management Console.
-
Si se trata de una clave de seguridad FIDO, contacte con el proveedor externo para que lo ayude a sustituir el dispositivo. Cuando reciba la nueva clave de seguridad FIDO, habilítela como se describe en Asignación de una clave de acceso o de seguridad en la AWS Management Console.
-
En el caso de un token de TOTP de hardware, contacte con el proveedor externo para que lo ayude a reparar o sustituir el dispositivo. Una vez que tenga el nuevo dispositivo de MFA físico, habilítelo tal y como se describe en Asignación de un token de TOTP de hardware en la AWS Management Console.
nota
No es necesario reemplazar un dispositivo MFA perdido o robado con el mismo tipo de dispositivo. Puede tener hasta ocho dispositivos MFA de cualquier combinación. Por ejemplo, si se rompe la clave de seguridad FIDO y pide una nueva, puede utilizar la MFA virtual o un token de TOTP de hardware hasta que reciba una clave FIDO nueva.
-
-
Si su dispositivo MFA ha sido robado o se ha extraviado, cambie su contraseña para que la persona que tenga el dispositivo de autenticación no tenga también su contraseña actual. Para obtener más información, consulte Administrar las contraseñas de los usuarios de IAM.