Assegnare un token TOTP hardware nella AWS Management Console - AWS Identity and Access Management
Autorizzazioni richiesteAbilitazione di un dispositivo MFA hardware per un utente IAM (console)Abilitazione di un dispositivo MFA hardware per un altro utente IAM (console)Sostituzione di un dispositivo MFA fisico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegnare un token TOTP hardware nella AWS Management Console

Un dispositivo MFA hardware genera un codice numerico di sei cifre basato su un algoritmo di password monouso sincronizzato nel tempo. L'utente deve immettere un codice valido dal dispositivo quando richiesto durante la procedura di accesso. Ogni dispositivo MFA assegnato a un utente deve essere univoco; un utente non può immettere un codice dal dispositivo di un altro utente per effettuare l'autenticazione. I dispositivi MFA non possono essere condivisi tra account o utenti.

I dispositivi MFA hardware e le chiavi di sicurezza FIDO sono entrambi dispositivi fisici che si acquistano. I dispositivi MFA hardware generano codici TOTP per l'autenticazione quando accedi a AWS. Si basano sulle batterie, che potrebbero richiedere la sostituzione e la risincronizzazione con AWS nel tempo. Le chiavi di sicurezza FIDO, che utilizzano la crittografia a chiave pubblica, non richiedono batterie e offrono un processo di autenticazione senza interruzioni. Consigliamo di utilizzare le chiavi di sicurezza FIDO per la loro resistenza al phishing e perché forniscono un'alternativa più sicura ai dispositivi TOTP. Inoltre, le chiavi di sicurezza FIDO possono supportare più utenti IAM o root sullo stesso dispositivo, migliorandone l'utilità per la sicurezza degli account. Per specifiche e informazioni sull'acquisto per entrambi i tipi di dispositivo, consulta Multi-Factor Authentication.

Per abilitare un dispositivo MFA hardware per un utente IAM puoi utilizzare la AWS Management Console, la riga di comando oppure l'API IAM. Per abilitare un dispositivo MFA per l'Utente root dell'account AWS, consulta Abilita un TOTP token hardware per l'utente root (console).

Puoi registrare fino a otto dispositivi MFA in qualsiasi combinazione dei tipi di MFA attualmente supportati con l'Utente root dell'account AWS e gli utenti IAM. Con più dispositivi MFA, è necessario un solo dispositivo MFA per accedere alla AWS Management Console o creare una sessione tramite la AWS CLI con tale utente.

Importante

Ti consigliamo di abilitare più dispositivi MFA per gli utenti in modo da garantire l'accesso continuo al tuo account in caso di smarrimento del dispositivo MFA o se diventa inaccessibile.

Nota

Per abilitare il dispositivo MFA dalla riga di comando, utilizzare aws iam enable-mfa-device. Per abilitare il dispositivo MFA con l'API IAM, utilizza l'operazione EnableMFADevice.

Autorizzazioni richieste

Per gestire un dispositivo MFA hardware per il proprio utente IAM proteggendo le operazioni sensibili correlate a MFA, è necessario disporre delle autorizzazioni dalla policy seguente:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

Abilitazione di un dispositivo MFA hardware per un utente IAM (console)

È possibile abilitare il proprio dispositivo MFA hardware tramite AWS Management Console.

Nota

Prima di abilitare un dispositivo MFA hardware è necessario disporre di accesso fisico al dispositivo.

Come abilitare un dispositivo MFA hardware per un utente IAM (console)

  1. Utilizza l'ID account o l'alias account AWS, il nome utente IAM e la password per accedere alla console IAM.

    Nota

    Per praticità, la pagina di accesso AWS utilizza un cookie del browser per ricordare il nome utente IAM e le informazioni sull'account. Se in precedenza è stato eseguito l'accesso con un utente diverso, scegli il link Accedi a un account differente nella parte inferiore della pagina per ritornare alla pagina principale di accesso. Da lì, puoi inserire l'ID account AWS o l'alias account in modo da essere reindirizzato alla pagina di accesso utente IAM per l'account.

    Contattare l'amministratore per ottenere il proprio ID dell'account Account AWS.

  2. Seleziona il nome utente in alto a destra nella barra di navigazione e scegli Security credentials (Credenziali di sicurezza).

    Credenziali di sicurezza di AWS Management Console

  3. Nella scheda Credenziali AWS IAM, nella sezione Autenticazione a più fattori, seleziona Gestione dispositivo MFA.

  4. Nella procedura guidata, digitate il nome del dispositivo, scegliete il token Hardware TOTP e quindi scegliete Avanti.

  5. Digitare il numero di serie del dispositivo. In genere, il numero di serie è indicato sulla parte posteriore del dispositivo.

  6. Nella casella MFA code 1 (Codice MFA 1) digitare il numero di sei cifre visualizzato nel dispositivo MFA. Per visualizzare il numero, potrebbe essere necessario premere il pulsante sul lato anteriore del dispositivo.

    Pannello di controllo IAM - Dispositivo MFA

  7. Attendere 30 secondi per consentire al dispositivo di aggiornare il codice, quindi digitare il nuovo numero a sei cifre nella casella MFA code 2 (Codice MFA 2). Per visualizzare il secondo numero, potrebbe essere necessario premere nuovamente il pulsante sul lato anteriore del dispositivo.

  8. Scegli Aggiungi MFA.

    Importante

    La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se dopo avere generato i codici attendi troppo a lungo prima di inviare la richiesta, il dispositivo MFA si associerà correttamente con l'utente, ma perderà la sincronizzazione. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.

Il dispositivo è pronto per essere utilizzato con AWS. Per ulteriori informazioni sull'utilizzo di MFA con la AWS Management Console, consulta Accesso abilitato con MFA.

Abilitazione di un dispositivo MFA hardware per un altro utente IAM (console)

Puoi abilitare un dispositivo MFA hardware per un altro utente IAM dalla AWS Management Console.

Come abilitare un dispositivo MFA hardware per un altro utente IAM (console)

  1. Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Utenti.

  3. Scegli il nome del segreto per il quale desideri abilitare la rotazione.

  4. Seleziona la scheda Credenziali di sicurezza. Nella sezione Multi-Factor Authentication (MFA) (Autenticazione a più fattori), scegliere Assign MFA device (Assegna dispositivo MFA).

  5. Nella procedura guidata, digitate il nome del dispositivo, scegliete il token Hardware TOTP e quindi scegliete Avanti.

  6. Digitare il numero di serie del dispositivo. In genere, il numero di serie è indicato sulla parte posteriore del dispositivo.

  7. Nella casella MFA code 1 (Codice MFA 1) digitare il numero di sei cifre visualizzato nel dispositivo MFA. Per visualizzare il numero, potrebbe essere necessario premere il pulsante sul lato anteriore del dispositivo.

    Pannello di controllo IAM - Dispositivo MFA

  8. Attendere 30 secondi per consentire al dispositivo di aggiornare il codice, quindi digitare il nuovo numero a sei cifre nella casella MFA code 2 (Codice MFA 2). Per visualizzare il secondo numero, potrebbe essere necessario premere nuovamente il pulsante sul lato anteriore del dispositivo.

  9. Scegli Aggiungi MFA.

    Importante

    La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se dopo avere generato i codici attendi troppo a lungo prima di inviare la richiesta, il dispositivo MFA si associerà correttamente con l'utente, ma perderà la sincronizzazione. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.

Il dispositivo è pronto per essere utilizzato con AWS. Per ulteriori informazioni sull'utilizzo di MFA con la AWS Management Console, consulta Accesso abilitato con MFA.

Sostituzione di un dispositivo MFA fisico

Puoi assegnare fino a otto dispositivi MFA in qualsiasi combinazione dei tipi di MFA attualmente supportati a un uso alla volta con l'Utente root dell'account AWS e gli utenti IAM. Se l'utente dovesse perdere il proprio dispositivo o in caso di sostituzione, dovrai disattivare il vecchio dispositivo e quindi aggiungere quello nuovo.