Restauration d’une identité protégée par MFA dans IAM - AWS Identity and Access Management
Prérequis – Utilisation d’un autre appareil MFARécupération d'un dispositif MFA d'utilisateur racineRécupération d'un dispositif MFA d'utilisateur IAM

Restauration d’une identité protégée par MFA dans IAM

Si votre dispositif MFA virtuel ou votre jeton TOTP matériel semble fonctionner correctement, mais que vous ne pouvez pas accéder à vos ressources AWS, il est possible qu'il ne soit plus synchronisé avec AWS. Pour plus d'informations sur la synchronisation d'un dispositif MFA virtuel ou d'un dispositif MFA matériel, consultez Resynchronisation des dispositifs MFA virtuels et matériels. Les clés de sécurité FIDO ne se désynchronisent pas.

Si le dispositif MFA d’un Utilisateur racine d'un compte AWS est perdu, endommagé ou défaillant, vous pouvez récupérer l’accès à votre compte. Les utilisateurs IAM doivent contacter un administrateur pour désactiver le périphérique.

Important

Nous vous recommandons d’activer plusieurs dispositifs MFA. L’enregistrement de plusieurs dispositifs MFA permet de garantir la continuité de l’accès en cas de perte ou de casse d’un dispositif. Votre Utilisateur racine d'un compte AWS et les utilisateurs IAM peuvent enregistrer jusqu’à huit dispositifs MFA, quel que soit leur type.

Prérequis – Utilisation d’un autre appareil MFA

Si le dispositif d’authentification multifactorielle (MFA) est perdu, endommagé ou défaillant, vous pouvez vous connecter à l’aide d’un autre dispositif MFA enregistré au même utilisateur racine ou utilisateur IAM.

Pour vous connecter à l’aide d’un autre appareil MFA

  1. Connectez-vous à l’AWS Management Console à l’aide de votre ID d’Compte AWS ou de votre alias de compte et de votre mot de passe.

  2. Sur la page Vérification supplémentaire nécessaire ou la page Authentification multifactorielle, choisissez Essayer une autre méthode MFA.

  3. Authentifiez-vous avec le type de dispositif MFA que vous avez sélectionné.

  4. L’étape suivante varie selon que vous vous êtes connecté avec succès avec un autre dispositif MFA.

Récupération d'un dispositif MFA d'utilisateur racine

Si vous ne pouvez pas vous connecter par MFA, vous pouvez utiliser d’autres méthodes d’authentification pour vous connecter en vérifiant votre identité à l’aide de l’e-mail et du numéro de téléphone de contact principal enregistrés avec votre compte.

Assurez-vous de pouvoir accéder à l’e-mail et au numéro de téléphone du contact principal associés à votre compte avant d’utiliser d’autres facteurs d’authentification pour vous connecter en tant qu’utilisateur racine. Si vous devez mettre à jour le numéro de téléphone du contact principal, connectez-vous en tant qu’utilisateur IAM avec un accès Administrateur au lieu de l’utilisateur racine. Pour obtenir des instructions supplémentaires sur la mise à jour des informations de contact du compte, consultez la section Modification de vos informations de contact dans le Guide de l'utilisateur AWS Billing. Si vous n'avez pas accès à une adresse e-mail et à un numéro de téléphone de contact principal, vous devez contacter AWS Support.

Important

Nous vous recommandons de garder à jour l'adresse e-mail et le numéro de téléphone de contact associés à votre utilisateur root pour une restauration réussie du compte. Pour plus d'informations, consultez Mettre à jour le contact principal pour votre Compte AWS dans le guide de référence d'AWS Account Management.

Pour vous connecter à l'aide d'autres facteurs d'authentification en tant qu'Utilisateur racine d'un compte AWS

  1. Connectez-vous à la AWS Management Console en tant que propriétaire du compte en sélectionnant Root user (Utilisateur racine) et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.

  2. Sur la page Vérification supplémentaire nécessaire, choisissez une méthode MFA pour vous authentifier, puis choisissez Suivant.

    Note

    Vous pouvez voir un texte de remplacement, tel que Connectez-vous à l'aide de MFA, Dépanner votre dispositif d'authentification, ou Dépanner le MFA, mais les fonctionnalités sont les mêmes. Si vous ne pouvez pas utiliser d’autres facteurs d’authentification pour vérifier l’adresse e-mail et le numéro de téléphone du contact principal de votre compte, contactez AWS Support pour désactiver votre dispositif MFA.

  3. Selon le type de MFA que vous utilisez, vous verrez une page différente, mais l'option Dépanner MFA fonctionne de la même manière. Sur la page Vérification supplémentaire nécessaire ou Authentification multifacteur, choisissez Dépanner MFA.

  4. Si besoin, saisissez à nouveau votre mot de passe et choisissez Sign in (Connexion).

  5. Sur la page Dépanner votre dispositif d'authentification, dans la section Connectez-vous à l'aide d'autres facteurs d'authentification, choisissez Connectez-vous à l'aide d'autres facteurs.

  6. Sur la page Connectez-vous à l'aide d'autres facteurs d'authentification, authentifiez votre compte en vérifiant l'adresse e-mail, puis choisissez Envoyer un e-mail de vérification.

  7. Vérifiez l'e-mail associé à votre Compte AWS pour un message d'Amazon Web Services (recover-mfa-no-reply@verify.signin.aws). Suivez les instructions de l'e-mail.

    Si vous ne voyez pas d'e-mail dans votre boîte de réception, vérifiez le dossier des courriers indésirables, ou revenez à votre navigateur et choisissez Resend the email (Renvoyer l'e-mail).

  8. Une fois que vous avez confirmé votre adresse e-mail, vous pouvez continuer à authentifier votre compte. Pour confirmer votre numéro de téléphone de contact principal, choisissez Call me now (Appelez-moi maintenant).

  9. Répondez à l'appel d'AWS, puis, lorsque vous y êtes invité, saisissez le numéro à six chiffres du site web AWS sur le clavier de votre téléphone.

    Si vous ne recevez pas d'appel d'AWS, choisissez Sign in (Connexion) pour vous connecter à nouveau à la console et recommencez. Ou consultez la rubrique Appareil d'authentification multifactorielle (MFA) perdu ou inutilisable pour obtenir l'aide du support.

  10. Une fois que vous avez confirmé votre numéro de téléphone, vous pouvez vous connecter à votre compte en choisissant Sign in to the console (Se connecter à la console).

  11. L'étape suivante varie selon le type de MFA que vous utilisez :

    • Si vous utilisez un dispositif MFA virtuel, supprimez le compte de votre périphérique. Ensuite, accédez à la page Informations d'identification de sécurité AWS et supprimez l'ancienne entité de dispositif virtuel MFA avant d'en créer une nouvelle.

    • Pour une clé de sécurité FIDO, accédez à la page Informations d'identification de sécurité AWS et désactivez l'ancienne clé FIDO avant d'en activer une nouvelle.

    • Si vous utilisez un jeton TOTP matériel, contactez le fournisseur tiers pour qu’il dépanne ou remplace le dispositif. Vous pouvez continuer à vous connecter à l'aide d'autres facteurs d'authentification jusqu'à ce que vous receviez votre nouveau périphérique. Une fois que vous avez le nouveau dispositif MFA matériel, rendez-vous sur la page Informations d’identification de sécurité AWS et supprimez l’ancienne entité de dispositif matériel MFA avant d’en recréer une.

    Note

    Vous n'êtes pas obligé de remplacer un dispositif MFA perdu ou volé par le même type de périphérique. Par exemple, si vous cassez votre clé de sécurité FIDO et en commandez une nouvelle, vous pouvez utiliser un dispositif MFA virtuel ou un jeton TOTP matériel jusqu’à réception de la nouvelle clé FIDO.

Important

Si votre dispositif MFA est manquant ou volé, modifiez votre mot de passe d’utilisateur racine après vous être connecté et avoir mis en place votre dispositif MFA de remplacement. Un attaquant pourrait avoir volé le dispositif d’authentification et pourrait également détenir votre mot de passe actuel. Pour en savoir plus, consultez Modifier le mot de passe de l'Utilisateur racine d'un compte AWS.

Récupération d'un dispositif MFA d'utilisateur IAM

Si vous êtes un utilisateur IAM et que vous ne pouvez pas vous connecter par MFA, vous ne pouvez pas récupérer un dispositif MFA par vous-même. Vous devez contacter un administrateur pour désactiver le périphérique. Ensuite, vous pouvez activer un nouveau périphérique.

Pour obtenir de l'aide pour un dispositif MFA en tant qu'utilisateur IAM

  1. Contactez l'administrateur AWS ou la personne vous ayant fourni le nom utilisateur et le mot de passe pour l'utilisateur IAM. L'administrateur doit désactiver le dispositif MFA, comme décrit dans Désactivation d’un dispositif MFA, afin que vous puissiez vous connecter.

  2. L'étape suivante varie selon le type de MFA que vous utilisez :

    Note

    Vous n'êtes pas obligé de remplacer un dispositif MFA perdu ou volé par le même type de périphérique. Vous pouvez avoir jusqu'à huit dispositifs MFA, quelle que soit leur combinaison. Par exemple, si vous cassez votre clé de sécurité FIDO et en commandez une nouvelle, vous pouvez utiliser un dispositif MFA virtuel ou un jeton TOTP matériel jusqu’à réception de la nouvelle clé FIDO.

  3. Si votre dispositif MFA est perdu ou volé, modifiez votre mot de passe , au cas où un pirate informatique aurait volé le dispositif d'authentification et détiendrait également votre mot de passe actuel. Pour plus d’informations, consultez Gérer les mots de passe des utilisateurs IAM.