Attribuez un MFA appareil virtuel dans AWS Management Console - AWS Identity and Access Management
Autorisations nécessairesActiver un MFA appareil virtuel pour un IAM utilisateur (console)Remplacer un MFA périphérique virtuel

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Attribuez un MFA appareil virtuel dans AWS Management Console

Vous pouvez utiliser un téléphone ou un autre appareil comme dispositif d'authentification multifactorielle virtuelle (MFA). Pour ce faire, installez une application mobile conforme au RFC6238, un algorithme basé sur des normes TOTP (mot de passe à usage unique basé sur le temps). Ces applications génèrent un code d'authentification à six chiffres. Comme elles peuvent s'exécuter sur des appareils mobiles non sécurisés, les technologies virtuelles MFA peuvent ne pas fournir le même niveau de sécurité que les clés de FIDO sécurité. Nous vous recommandons d'utiliser un MFA appareil virtuel en attendant l'approbation de l'achat du matériel ou en attendant l'arrivée de votre matériel.

La plupart des MFA applications virtuelles prennent en charge la création de plusieurs appareils virtuels, ce qui vous permet d'utiliser la même application pour plusieurs Comptes AWS utilisateurs. Vous pouvez enregistrer jusqu'à huit MFA appareils de n'importe quelle combinaison de MFAtypes auprès de vous Utilisateur racine d'un compte AWS et de vos IAM utilisateurs. Vous n'avez besoin que d'un seul MFA appareil pour vous connecter AWS Management Console ou créer une session via le AWS CLI. Nous vous recommandons d'enregistrer plusieurs MFA appareils. Pour les applications d'authentification, nous vous recommandons également d'activer la fonctionnalité de sauvegarde ou de synchronisation dans le cloud pour éviter de perdre l'accès à votre compte si vous perdez ou cassez votre appareil.

AWS nécessite une MFA application virtuelle qui produit un code à six chiffresOTP. Pour obtenir la liste des MFA applications virtuelles que vous pouvez utiliser, consultez la section Authentification multifactorielle.

Autorisations nécessaires

Pour gérer les MFA appareils virtuels pour votre IAM utilisateur, vous devez disposer des autorisations définies par la politique suivante :AWS: permet aux utilisateurs IAM authentifiés MFA de gérer leur propre appareil MFA sur la page des informations d'identification de sécurité.

Activer un MFA appareil virtuel pour un IAM utilisateur (console)

Vous pouvez IAM l'utiliser AWS Management Console pour activer et gérer un MFA appareil virtuel pour un IAM utilisateur de votre compte. Vous pouvez associer des balises à vos IAM ressources, y compris aux MFA appareils virtuels, afin de les identifier, de les organiser et de contrôler l'accès à celles-ci. Vous pouvez étiqueter MFA des appareils virtuels uniquement lorsque vous utilisez le AWS CLI ou AWS API. Pour activer et gérer un MFA appareil à l'aide du AWS CLI système ou AWS API, consultezAttribuez MFA des appareils dans le AWS CLI ou AWS API. Pour plus d'informations sur le balisage IAM des ressources, consultezTags pour les AWS Identity and Access Management ressources.

Note

Vous devez avoir un accès physique au matériel qui hébergera le MFA périphérique virtuel de l'utilisateur pour effectuer la configurationMFA. Par exemple, vous pouvez effectuer une configuration MFA pour un utilisateur qui utilisera un MFA appareil virtuel exécuté sur un smartphone. Dans ce cas, vous devez avoir le smartphone à proximité afin de finaliser l'assistant. Pour cette raison, vous souhaiterez peut-être laisser les utilisateurs configurer et gérer leurs propres MFA appareils virtuels. Dans ce cas, vous devez accorder aux utilisateurs les autorisations nécessaires pour effectuer les IAM actions nécessaires. Pour plus d'informations et pour obtenir un exemple de IAM politique accordant ces autorisations, consultez l'exemple IAMDidacticiel : autoriser les utilisateurs à gérer leurs informations d'identification et leurs MFA paramètres de politiqueAWS: permet aux utilisateurs IAM authentifiés MFA de gérer leur propre appareil MFA sur la page des informations d'identification de sécurité.

Pour activer un MFA appareil virtuel pour un IAM utilisateur (console)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Dans la liste Utilisateurs, choisissez le nom de l'IAMutilisateur.

  4. Choisissez l'onglet Informations d'identification de sécurité. Sous Authentification multifactorielle (MFA), choisissez Attribuer un MFA appareil.

  5. Dans l'assistant, saisissez un nom dans le champ Nom du dispositif, sélectionnez Application Authenticator, puis cliquez sur Suivant.

    IAMgénère et affiche des informations de configuration pour l'MFAappareil virtuel, y compris un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre MFA application virtuelle. Pour obtenir la liste des applications que vous pouvez utiliser pour héberger des MFA appareils virtuels, consultez la section Authentification multifactorielle.

    Si l'MFAapplication virtuelle prend en charge plusieurs MFA appareils ou comptes virtuels, choisissez l'option permettant de créer un nouvel MFA appareil virtuel ou un nouveau compte.

  7. Déterminez si l'MFAapplication prend en charge les codes QR, puis effectuez l'une des opérations suivantes :

    • Dans l'assistant, choisissez Show QR code (Afficher le code QR), puis utiliser l'application pour analyser le code QR. Il peut s'agir d'une icône d'appareil photo ou d'une option de numérisation de code qui utilise l'appareil photo de l'appareil pour scanner le code.

    • Dans l'assistant, choisissez Afficher la clé secrète, puis saisissez la clé secrète dans votre MFA application.

    Lorsque vous avez terminé, le MFA périphérique virtuel commence à générer des mots de passe à usage unique.

  8. Sur la page Configurer l'appareil, dans le champ MFACode 1, tapez le mot de passe à usage unique qui apparaît actuellement sur le MFA périphérique virtuel. Attendez jusqu'à 30 secondes pour que le dispositif génère un nouveau mot de passe unique. Tapez ensuite le deuxième mot de passe à usage unique dans le champ MFAcode 2. Choisissez Ajouter MFA.

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis que vous attendez trop longtemps pour soumettre la demande, l'MFAappareil s'associe correctement à l'utilisateur, mais il n'est pas synchronisé. MFA Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps. Dans ce cas, vous pouvez resynchroniser le dispositif.

Le MFA périphérique virtuel est maintenant prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation MFA avec le AWS Management Console, voirMFAconnexion activée.

Remplacer un MFA périphérique virtuel

Vous Utilisateur racine d'un compte AWS et vos IAM utilisateurs pouvez enregistrer jusqu'à huit MFA appareils de n'importe quelle combinaison de MFA types. Si l'utilisateur perd un appareil ou doit le remplacer pour une raison quelconque, désactivez l'ancien appareil. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.