Assegna un MFA dispositivo virtuale nel AWS Management Console - AWS Identity and Access Management
Autorizzazioni richiesteAbilita un MFA dispositivo virtuale per un IAM utente (console)Sostituire un MFA dispositivo virtuale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegna un MFA dispositivo virtuale nel AWS Management Console

È possibile utilizzare un telefono o un altro dispositivo come dispositivo di autenticazione a più fattori virtuale (MFA). A tale scopo, installa un'app per dispositivi mobili conforme al RFC6238, un algoritmo basato su standard (password monouso basata sul TOTP tempo). Queste app generano un codice di autenticazione a sei cifre. Poiché possono essere eseguite su dispositivi mobili non protetti, le chiavi virtuali MFA potrebbero non fornire lo stesso livello di sicurezza delle chiavi di sicurezza. FIDO Ti consigliamo di utilizzare un MFA dispositivo virtuale in attesa dell'approvazione dell'acquisto dell'hardware o mentre aspetti l'arrivo dell'hardware.

La maggior parte delle MFA app virtuali supporta la creazione di più dispositivi virtuali, il che consente di utilizzare la stessa app Account AWS per più utenti. Puoi registrare fino a otto MFA dispositivi di qualsiasi combinazione di MFAtipi con te Utente root dell'account AWS e con IAM gli utenti. È necessario un solo MFA dispositivo per accedere AWS Management Console o creare una sessione tramite AWS CLI. Ti consigliamo di registrare più MFA dispositivi. Per le applicazioni di autenticazione, ti consigliamo inoltre di abilitare la funzionalità di backup o sincronizzazione su cloud per evitare di perdere l'accesso al tuo account in caso di smarrimento o guasto del dispositivo.

AWS richiede un'MFAapp virtuale che produca un codice a sei cifre. OTP Per un elenco delle MFA app virtuali che puoi utilizzare, consulta Autenticazione a più fattori.

Autorizzazioni richieste

Per gestire MFA i dispositivi virtuali per il tuo IAM utente, devi disporre delle autorizzazioni previste dalla seguente politica:. AWS: consente agli utenti IAM autenticati tramite MFA di gestire il proprio dispositivo MFA nella pagina Credenziali di sicurezza

Abilita un MFA dispositivo virtuale per un IAM utente (console)

Puoi IAM utilizzarlo AWS Management Console per abilitare e gestire un MFA dispositivo virtuale per un IAM utente del tuo account. Puoi allegare tag alle tue IAM risorse, inclusi MFA i dispositivi virtuali, per identificarle, organizzarle e controllarne l'accesso. È possibile etichettare MFA i dispositivi virtuali solo quando si utilizza AWS CLI o AWS API. Per abilitare e gestire un MFA dispositivo utilizzando AWS CLI o AWS API, consultaAssegna MFA dispositivi in o AWS CLIAWS API. Per ulteriori informazioni sull'etichettatura IAM delle risorse, consultaTag per AWS Identity and Access Management le risorse.

Nota

Per eseguire la configurazioneMFA, è necessario disporre dell'accesso fisico all'hardware che ospiterà il MFA dispositivo virtuale dell'utente. Ad esempio, è possibile eseguire MFA la configurazione per un utente che utilizzerà un MFA dispositivo virtuale in esecuzione su uno smartphone. In questo caso, è necessario disporre di uno smartphone per completare la procedura guidata. Per questo motivo, potresti voler consentire agli utenti di configurare e gestire i propri MFA dispositivi virtuali. In tal caso, è necessario concedere agli utenti le autorizzazioni per eseguire le IAM azioni necessarie. Per ulteriori informazioni e per un esempio di IAM policy che concede queste autorizzazioni, consulta la policy IAMtutorial: Abilitare gli utenti a gestire le proprie credenziali e impostazioni MFA and example. AWS: consente agli utenti IAM autenticati tramite MFA di gestire il proprio dispositivo MFA nella pagina Credenziali di sicurezza

Per abilitare un MFA dispositivo virtuale per un IAM utente (console)

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Utenti.

  3. Nell'elenco Utenti, scegli il nome dell'IAMutente.

  4. Seleziona la scheda Credenziali di sicurezza. In Autenticazione a più fattori (MFA), scegli Assegna dispositivo MFA.

  5. Nella procedura guidata, digita un nome per il dispositivo, scegli l'app Authenticator e quindi scegli Next (Avanti).

    IAMgenera e visualizza le informazioni di configurazione per il MFA dispositivo virtuale, inclusa una grafica con codice QR. Il grafico è una rappresentazione della "chiave di configurazione segreta" disponibile per l'inserimento manuale sui dispositivi che non supportano i codici QR.

  6. Apri la tua MFA app virtuale. Per un elenco di app che puoi utilizzare per ospitare MFA dispositivi virtuali, consulta Autenticazione a più fattori.

    Se l'MFAapp virtuale supporta più MFA dispositivi o account virtuali, scegli l'opzione per creare un nuovo MFA dispositivo o account virtuale.

  7. Determina se l'MFAapp supporta i codici QR, quindi esegui una delle seguenti operazioni:

    • Nella procedura guidata, scegliere Mostra codice QR ed eseguire la scansione del codice QR tramite l'app. Potrebbe trattarsi dell'icona di una fotocamera o di un'opzione del codice di scansione che utilizza la fotocamera del dispositivo per scansionare il codice.

    • Dalla procedura guidata, scegli Mostra chiave segreta, quindi digita la chiave segreta nell'MFAapp.

    Al termine, il MFA dispositivo virtuale inizia a generare password monouso.

  8. Nella pagina Configura dispositivo, nella casella MFAcodice 1, digita la password monouso attualmente visualizzata nel dispositivo virtuale. MFA Attendere fino a un massimo di 30 secondi prima che il dispositivo generi una nuova password una tantum. Digita quindi la seconda password monouso nella casella MFACode 2. Scegli Aggiungi MFA.

    Importante

    Inviare la richiesta immediatamente dopo la generazione dei codici. Se generi i codici e poi attendi troppo a lungo per inviare la richiesta, il MFA dispositivo si associa correttamente all'utente ma non è sincronizzato. MFA Ciò accade perché le password monouso basate sul tempo (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.

Il MFA dispositivo virtuale è ora pronto per l'uso con. AWS Per informazioni sull'utilizzo MFA con AWS Management Console, vedereMFAaccesso abilitato.

Sostituire un MFA dispositivo virtuale

Tu Utente root dell'account AWS e i tuoi IAM utenti potete registrare fino a otto MFA dispositivi di qualsiasi combinazione di MFA tipi. Se l'utente perde un dispositivo o deve sostituirlo per qualsiasi motivo, disattiva il vecchio dispositivo. e quindi aggiungere quello nuovo.