Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Assegnare un token TOTP hardware nella AWS Management Console
Un dispositivo MFA hardware genera un codice numerico di sei cifre basato su un algoritmo di password monouso sincronizzato nel tempo. L'utente deve immettere un codice valido dal dispositivo quando richiesto durante la procedura di accesso. Ogni dispositivo MFA assegnato a un utente deve essere univoco; un utente non può immettere un codice dal dispositivo di un altro utente per effettuare l'autenticazione. I dispositivi MFA non possono essere condivisi tra account o utenti.
I dispositivi MFA hardware e le chiavi di sicurezza FIDO sono entrambi dispositivi fisici che si acquistano. I dispositivi MFA hardware generano codici TOTP per l'autenticazione quando accedi a AWS. Si basano sulle batterie, che potrebbero richiedere la sostituzione e la risincronizzazione con AWS nel tempo. Le chiavi di sicurezza FIDO, che utilizzano la crittografia a chiave pubblica, non richiedono batterie e offrono un processo di autenticazione senza interruzioni. Consigliamo di utilizzare le chiavi di sicurezza FIDO per la loro resistenza al phishing e perché forniscono un'alternativa più sicura ai dispositivi TOTP. Inoltre, le chiavi di sicurezza FIDO possono supportare più utenti IAM o root sullo stesso dispositivo, migliorandone l'utilità per la sicurezza degli account. Per specifiche e informazioni sull'acquisto per entrambi i tipi di dispositivo, consulta Multi-Factor Authentication
Per abilitare un dispositivo MFA hardware per un utente IAM puoi utilizzare la AWS Management Console, la riga di comando oppure l'API IAM. Per abilitare un dispositivo MFA per l'Utente root dell'account AWS, consulta Abilita un TOTP token hardware per l'utente root (console).
Puoi registrare fino a otto dispositivi MFA in qualsiasi combinazione dei tipi di MFA attualmente supportati
Importante
Ti consigliamo di abilitare più dispositivi MFA per gli utenti in modo da garantire l'accesso continuo al tuo account in caso di smarrimento del dispositivo MFA o se diventa inaccessibile.
Nota
Per abilitare il dispositivo MFA dalla riga di comando, utilizzare aws iam
enable-mfa-device
. Per abilitare il dispositivo MFA con l'API IAM, utilizza l'operazione EnableMFADevice
.
Argomenti
Autorizzazioni richieste
Per gestire un dispositivo MFA hardware per il proprio utente IAM proteggendo le operazioni sensibili correlate a MFA, è necessario disporre delle autorizzazioni dalla policy seguente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }
Abilitazione di un dispositivo MFA hardware per un utente IAM (console)
È possibile abilitare il proprio dispositivo MFA hardware tramite AWS Management Console.
Nota
Prima di abilitare un dispositivo MFA hardware è necessario disporre di accesso fisico al dispositivo.
Come abilitare un dispositivo MFA hardware per un utente IAM (console)
-
Utilizza l'ID account o l'alias account AWS, il nome utente IAM e la password per accedere alla console IAM
. Nota
Per praticità, la pagina di accesso AWS utilizza un cookie del browser per ricordare il nome utente IAM e le informazioni sull'account. Se in precedenza è stato eseguito l'accesso con un utente diverso, scegli il link Accedi a un account differente nella parte inferiore della pagina per ritornare alla pagina principale di accesso. Da lì, puoi inserire l'ID account AWS o l'alias account in modo da essere reindirizzato alla pagina di accesso utente IAM per l'account.
Contattare l'amministratore per ottenere il proprio ID dell'account Account AWS.
-
Seleziona il nome utente in alto a destra nella barra di navigazione e scegli Security credentials (Credenziali di sicurezza).
-
Nella scheda Credenziali AWS IAM, nella sezione Autenticazione a più fattori, seleziona Gestione dispositivo MFA.
-
Nella procedura guidata, digitate il nome del dispositivo, scegliete il token Hardware TOTP e quindi scegliete Avanti.
-
Digitare il numero di serie del dispositivo. In genere, il numero di serie è indicato sulla parte posteriore del dispositivo.
-
Nella casella MFA code 1 (Codice MFA 1) digitare il numero di sei cifre visualizzato nel dispositivo MFA. Per visualizzare il numero, potrebbe essere necessario premere il pulsante sul lato anteriore del dispositivo.
-
Attendere 30 secondi per consentire al dispositivo di aggiornare il codice, quindi digitare il nuovo numero a sei cifre nella casella MFA code 2 (Codice MFA 2). Per visualizzare il secondo numero, potrebbe essere necessario premere nuovamente il pulsante sul lato anteriore del dispositivo.
-
Scegli Aggiungi MFA.
Importante
La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se dopo avere generato i codici attendi troppo a lungo prima di inviare la richiesta, il dispositivo MFA si associerà correttamente con l'utente, ma perderà la sincronizzazione. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.
Il dispositivo è pronto per essere utilizzato con AWS. Per ulteriori informazioni sull'utilizzo di MFA con la AWS Management Console, consulta Accesso abilitato con MFA.
Abilitazione di un dispositivo MFA hardware per un altro utente IAM (console)
Puoi abilitare un dispositivo MFA hardware per un altro utente IAM dalla AWS Management Console.
Come abilitare un dispositivo MFA hardware per un altro utente IAM (console)
Accedi a AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, seleziona Utenti.
-
Scegli il nome del segreto per il quale desideri abilitare la rotazione.
-
Seleziona la scheda Credenziali di sicurezza. Nella sezione Multi-Factor Authentication (MFA) (Autenticazione a più fattori), scegliere Assign MFA device (Assegna dispositivo MFA).
-
Nella procedura guidata, digitate il nome del dispositivo, scegliete il token Hardware TOTP e quindi scegliete Avanti.
-
Digitare il numero di serie del dispositivo. In genere, il numero di serie è indicato sulla parte posteriore del dispositivo.
-
Nella casella MFA code 1 (Codice MFA 1) digitare il numero di sei cifre visualizzato nel dispositivo MFA. Per visualizzare il numero, potrebbe essere necessario premere il pulsante sul lato anteriore del dispositivo.
-
Attendere 30 secondi per consentire al dispositivo di aggiornare il codice, quindi digitare il nuovo numero a sei cifre nella casella MFA code 2 (Codice MFA 2). Per visualizzare il secondo numero, potrebbe essere necessario premere nuovamente il pulsante sul lato anteriore del dispositivo.
-
Scegli Aggiungi MFA.
Importante
La richiesta deve essere inviata immediatamente dopo la generazione dei codici di autenticazione. Se dopo avere generato i codici attendi troppo a lungo prima di inviare la richiesta, il dispositivo MFA si associerà correttamente con l'utente, ma perderà la sincronizzazione. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.
Il dispositivo è pronto per essere utilizzato con AWS. Per ulteriori informazioni sull'utilizzo di MFA con la AWS Management Console, consulta Accesso abilitato con MFA.
Sostituzione di un dispositivo MFA fisico
Puoi assegnare fino a otto dispositivi MFA in qualsiasi combinazione dei tipi di MFA attualmente supportati
-
Per disattivare il dispositivo associato al momento con un utente, consultare Disattiva un dispositivo MFA.
-
Per aggiungere un dispositivo MFA hardware sostitutivo per un utente IAM, segui la procedura Abilitazione di un dispositivo MFA hardware per un altro utente IAM (console)descritta prima in questo argomento.
-
Per aggiungere un token TOTP hardware sostitutivo per l'Utente root dell'account AWS, segui la procedura Abilita un TOTP token hardware per l'utente root (console)descritta in questo argomento.