Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Autenticação multifator para Usuário raiz da conta da AWS

Modo de foco
Autenticação multifator para Usuário raiz da conta da AWS - AWS Identity and Access Management

A autenticação multifator (MFA) é um mecanismo simples e eficaz para aumentar sua segurança. O primeiro fator, sua senha, é um segredo que você memoriza, também conhecido como fator de conhecimento. Outros fatores podem ser fatores de posse (algo que você tem, como uma chave de segurança) ou fatores de inerência (algo que você é, como um escaneamento biométrico). Para obter mais segurança, recomendamos veementemente que você configure a autenticação multifator (MFA) para ajudar a proteger seus recursos da AWS.

nota

A partir de maio de 2024, todos os usuários-raiz precisarão habilitar a MFA no próximo login deles, caso a MFA ainda não esteja habilitada. Os usuários poderão adiar o registro da MFA por até 35 dias, ignorando o prompt. Depois de 35 dias, a habilitação da MFA vai se tornar obrigatória para poder prosseguir com o login e acessar o AWS Management Console. Para contas de membros, a configuração da MFA é atualmente opcional, mas sua aplicação está planejada para a primavera de 2025.

É possível habilitar a MFA para o Usuário raiz da conta da AWS ou para usuários do IAM. Quando você habilitar a MFA para o usuário-raiz, ela afetará somente as credenciais do usuário-raiz. Para obter mais informações sobre como habilitar a MFA para seus usuários do IAM, consulte Código da autenticação multifator no IAM da AWS.

nota

As Contas da AWS gerenciadas usando o AWS Organizations podem ter a opção de gerenciar o acesso raiz de forma centralizada das contas de membros para evitar a recuperação de credenciais e o acesso em grande escala. Se essa opção estiver habilitada, você poderá excluir as credenciais de usuário-raiz das contas de membros, incluindo senhas e MFA, impedindo efetivamente o login como usuário-raiz, a recuperação de senha ou a configuração da MFA. Como alternativa, se você preferir manter os métodos de login baseados em senha, proteja a conta registrando a MFA para aprimorar a proteção da conta.

Antes de habilitar a MFA para seu usuário-raiz, revise e atualize as configurações e as informações de contato da sua conta para verificar se você tem acesso ao e-mail e ao número de telefone. Se o dispositivo com MFA for perdido, roubado ou não estiver funcionando, você ainda poderá fazer login como usuário-raiz verificando sua identidade usando esse e-mail e número de telefone. Para saber como fazer login usando fatores alternativos de autenticação, consulte Recuperar uma identidade protegida por MFA no IAM. Para desabilitar este recurso, entre em contato com AWS Support.

A AWS é compatível com os seguintes tipos de MFA para seu usuário-raiz:

Chaves de acesso e chaves de segurança

A AWS Identity and Access Management é compatível com chaves de acesso e chaves de segurança para MFA. Com base nos padrões FIDO, chaves de acesso usam criptografia de chave pública para proporcionar uma autenticação forte e resistente a phishing que é mais segura do que as senhas. A AWS é compatível com dois tipos de chaves de acesso: chaves de acesso vinculadas a dispositivo (chaves de segurança) e chaves de acesso sincronizadas.

  • Chaves de segurança: dispositivos físicos, como a YubiKey, usados como segundo fator de autenticação. Uma única chave de segurança é compatível com várias contas de usuário-raiz e usuários do IAM.

  • Chaves de acesso sincronizadas: usam gerenciadores de credenciais de provedores como Google, Apple, contas da Microsoft e serviços de terceiros, como 1Password, Dashlane e Bitwarden, como segundo fator.

É possível usar autenticadores biométricos integrados, como Touch ID em Apple MacBooks, para desbloquear seu gerenciador de credenciais e fazer login na AWS. As chaves de acesso são criadas com o provedor escolhido usando sua impressão digital, rosto ou PIN do dispositivo. É possível sincronizar chaves de acesso em seus dispositivos para facilitar o login na AWS e aprimorar a usabilidade e a capacidade de recuperação.

O IAM não oferece suporte ao registro de chave de acesso local para o Windows Hello. Para criar e usar chaves de acesso, os usuários do Windows devem usar a autenticação entre dispositivos, na qual você usa uma chave de acesso de um dispositivo, como um dispositivo móvel, ou uma chave de segurança de hardware, para entrar em outro dispositivo, como um laptop. A FIDO Alliance conta com uma lista de todos os produtos certificados pela FIDO compatíveis com as especificações da FIDO. Para obter mais informações sobre como habilitar chaves de acesso e chaves de segurança, consulte Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console).

Aplicações de autenticador virtual

Uma aplicação de autenticador virtual funciona em um telefone ou outro dispositivo e emula um dispositivo físico. As aplicações de autenticação virtual implementam o algoritmo de senha de uso único com marcação temporal (TOTP) e oferecem suporte a vários tokens em um único dispositivo. O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de acesso. Cada token atribuído a um usuário deve ser exclusivo. O usuário não pode digitar um código do token de outro usuário para se autenticar.

Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware. Para obter uma lista de algumas aplicações compatíveis que podem ser usadas como dispositivos de MFA virtuais, consulte Autenticação multifator (MFA). Para obter instruções sobre como configurar um dispositivo MFA virtual com a AWS, consulte Habilitar um dispositivo MFA virtual para o usuário-raiz (console).

Tokens físicos de TOTP

Um dispositivo físico gera um código numérico de seis dígitos baseado no algoritmo de senha de uso único com marcação temporal (TOTP). O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código do dispositivo de outro usuário para ser autenticado. Para obter informações sobre os dispositivos físicos de MFA compatíveis, consulte autenticação multifator (MFA). Para obter instruções sobre como configurar um token de hardware TOTP com a AWS, consulte Habilitar um token de hardware TOTP para o usuário-raiz (console).

Se você quiser usar um dispositivo físico de MFA, recomendamos que use chaves de segurança FIDO como alternativa aos dispositivos físicos de TOTP. As chaves de segurança FIDO proporcionam a vantagem de não usar bateria, ter resistência a phishing e comportar vários usuários-raiz e usuários do IAM em um único dispositivo para maior segurança.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.