# Autenticação multifator para Usuário raiz da conta da AWS
<a name="enable-mfa-for-root"></a>

**Importante**  
A AWS recomenda usar uma chave de acesso ou chave de segurança para MFA na AWS sempre que possível, pois elas são mais resistentes a ataques como phishing. Para obter mais informações, consulte [Chaves de acesso e chaves de segurança](#passkeys-security-keys-for-root).

A autenticação multifator (MFA) é um mecanismo simples e eficaz para aumentar sua segurança. O primeiro fator, sua senha, é um segredo que você memoriza, também conhecido como fator de conhecimento. Outros fatores podem ser fatores de posse (algo que você tem, como uma chave de segurança) ou fatores de inerência (algo que você é, como um escaneamento biométrico). Para obter mais segurança, recomendamos veementemente que você configure a autenticação multifator (MFA) para ajudar a proteger seus recursos da AWS.

**nota**  
Todos os tipos de Conta da AWS (contas autônomas, de gerenciamento e de membros) exigem que a MFA seja configurada para o usuário-raiz. Os usuários precisarão registrar a MFA em até 35 dias após a primeira tentativa de login, para acessar o Console de gerenciamento da AWS, se a MFA ainda não estiver habilitada.

É possível habilitar a MFA para o Usuário raiz da conta da AWS ou para usuários do IAM. Quando você habilitar a MFA para o usuário-raiz, ela afetará somente as credenciais do usuário-raiz. Para obter mais informações sobre como habilitar a MFA para seus usuários do IAM, consulte [Código da autenticação multifator no IAM da AWS](id_credentials_mfa.md).

**nota**  
As Contas da AWS gerenciadas usando o AWS Organizations podem ter a opção de [gerenciar o acesso raiz de forma centralizada](id_root-user.md#id_root-user-access-management) das contas de membros para evitar a recuperação de credenciais e o acesso em grande escala. Se essa opção estiver habilitada, você poderá excluir as credenciais de usuário-raiz das contas de membros, incluindo senhas e MFA, impedindo efetivamente o login como usuário-raiz, a recuperação de senha ou a configuração da MFA. Como alternativa, se você preferir manter os métodos de login baseados em senha, proteja a conta registrando a MFA para aprimorar a proteção da conta.

Antes de habilitar a MFA para seu usuário-raiz, revise e [atualize as configurações e as informações de contato da sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) para verificar se você tem acesso ao e-mail e ao número de telefone. Se o dispositivo com MFA for perdido, roubado ou não estiver funcionando, você ainda poderá fazer login como usuário-raiz verificando sua identidade usando esse e-mail e número de telefone. Para saber como fazer login usando fatores alternativos de autenticação, consulte [Recuperar uma identidade protegida por MFA no IAM](id_credentials_mfa_lost-or-broken.md). Para desabilitar este recurso, entre em contato com [AWS Support](https://console.aws.amazon.com/support/home#/). 

A AWS é compatível com os seguintes tipos de MFA para seu usuário-raiz:
+ [Chaves de acesso e chaves de segurança](#passkeys-security-keys-for-root)
+ [Aplicações de autenticador virtual](#virtual-auth-apps-for-root)
+ [Tokens físicos de TOTP](#hardware-totp-token-for-root)

## Chaves de acesso e chaves de segurança
<a name="passkeys-security-keys-for-root"></a>

A AWS Identity and Access Management é compatível com chaves de acesso e chaves de segurança para MFA. Com base nos padrões FIDO, chaves de acesso usam criptografia de chave pública para proporcionar uma autenticação forte e resistente a phishing que é mais segura do que as senhas. A AWS é compatível com dois tipos de chaves de acesso: chaves de acesso vinculadas a dispositivo (chaves de segurança) e chaves de acesso sincronizadas.
+ **Chaves de segurança**: dispositivos físicos, como a YubiKey, usados como segundo fator de autenticação. Uma única chave de segurança é compatível com várias contas de usuário-raiz e usuários do IAM. 
+ **Chaves de acesso sincronizadas**: usam gerenciadores de credenciais de provedores como Google, Apple, contas da Microsoft e serviços de terceiros, como 1Password, Dashlane e Bitwarden, como segundo fator.

É possível usar autenticadores biométricos integrados, como Touch ID em Apple MacBooks, para desbloquear seu gerenciador de credenciais e fazer login na AWS. As chaves de acesso são criadas com o provedor escolhido usando sua impressão digital, rosto ou PIN do dispositivo. É possível usar uma chave de acesso de autenticação entre dispositivos (CDA) de um dispositivo, como um dispositivo móvel ou uma chave de segurança de hardware, para entrar em outro dispositivo, como um laptop. Para obter mais informações, consulte [autenticação entre dispositivos](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

É possível sincronizar chaves de acesso em seus dispositivos para facilitar o login na AWS e aprimorar a usabilidade e a capacidade de recuperação. Para obter mais informações sobre como habilitar chaves de acesso e chaves de segurança, consulte [Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console)](enable-fido-mfa-for-root.md).

A FIDO Alliance conta com uma lista de todos os [produtos certificados pela FIDO](https://fidoalliance.org/certification/fido-certified-products/) compatíveis com as especificações da FIDO.

## Aplicações de autenticador virtual
<a name="virtual-auth-apps-for-root"></a>

Uma aplicação de autenticador virtual funciona em um telefone ou outro dispositivo e emula um dispositivo físico. As aplicações de autenticação virtual implementam o algoritmo de [senha de uso único com marcação temporal](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) e oferecem suporte a vários tokens em um único dispositivo. O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de acesso. Cada token atribuído a um usuário deve ser exclusivo. O usuário não pode digitar um código do token de outro usuário para se autenticar.

Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware. Para obter uma lista de algumas aplicações compatíveis que podem ser usadas como dispositivos de MFA virtuais, consulte [Autenticação multifator (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Para obter instruções sobre como configurar um dispositivo MFA virtual com a AWS, consulte [Habilitar um dispositivo MFA virtual para o usuário-raiz (console)](enable-virt-mfa-for-root.md).

## Tokens físicos de TOTP
<a name="hardware-totp-token-for-root"></a>

Um dispositivo físico gera um código numérico de seis dígitos baseado no [algoritmo de senha de uso único com marcação temporal (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238). O usuário deve digitar um código válido no dispositivo em uma segunda página da web durante o login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo. Um usuário não pode digitar um código do dispositivo de outro usuário para ser autenticado. Para obter informações sobre os dispositivos físicos de MFA compatíveis, consulte [autenticação multifator (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Para obter instruções sobre como configurar um token de hardware TOTP com a AWS, consulte [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md).

Se você quiser usar um dispositivo físico de MFA, recomendamos que use chaves de segurança FIDO como alternativa aos dispositivos físicos de TOTP. As chaves de segurança FIDO proporcionam a vantagem de não usar bateria, ter resistência a phishing e comportar vários usuários-raiz e usuários do IAM em um único dispositivo para maior segurança.

**Topics**
+ [Chaves de acesso e chaves de segurança](#passkeys-security-keys-for-root)
+ [Aplicações de autenticador virtual](#virtual-auth-apps-for-root)
+ [Tokens físicos de TOTP](#hardware-totp-token-for-root)
+ [Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console)](enable-fido-mfa-for-root.md)
+ [Habilitar um dispositivo MFA virtual para o usuário-raiz (console)](enable-virt-mfa-for-root.md)
+ [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md)

# Habilitar uma chave de acesso ou uma chave de segurança para o usuário-raiz (console)
<a name="enable-fido-mfa-for-root"></a>

Você só pode configurar e habilitar uma chave de acesso para o seu usuário-raiz no Console de gerenciamento da AWS, não na AWS CLI e nem na API da AWS. <a name="enable_fido_root"></a>

**Para habilitar uma chave de acesso ou uma chave de segurança para seu usuário-raiz do IAM (console)**

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No lado direito da barra de navegação, selecione o nome da conta e escolha **Security credentials** (Credenciais de segurança).  
![\[Credenciais de segurança no menu de navegação\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. **Na página **Minhas credenciais de segurança** do usuário-raiz, em **Autenticação multifator (MFA)**, escolha Atribuir dispositivo de MFA**.

1. **Na página de **nome do dispositivo de MFA**, insira o **nome do dispositivo**, escolha **Chave de acesso ou Chave de segurança** e, em seguida, escolha Avançar**.

1. Em **Configurar dispositivo**, configure sua chave de acesso. Crie uma chave de acesso com dados biométricos, como seu rosto ou impressão digital, com um pin do dispositivo ou inserindo a chave de segurança FIDO na porta USB do seu computador e tocando nela.

1. Siga as instruções no seu navegador para escolher um provedor de chave de acesso ou onde você deseja armazená-la para uso em todos os seus dispositivos. 

1. Escolha **Continuar**.

Agora, você registrou sua chave de acesso para uso com a AWS. A próxima vez que usar as credenciais de usuário-raiz para fazer login, você deverá se autenticar com sua chave de acesso para concluir o processo de login.

Para obter ajuda na solução de problemas de chaves de segurança FIDO, consulte [Solucionar problemas de chaves de acesso e chaves de segurança FIDO](troubleshoot_mfa-fido.md).

# Habilitar um dispositivo MFA virtual para o usuário-raiz (console)
<a name="enable-virt-mfa-for-root"></a>

É possível usar o Console de gerenciamento da AWS para configurar e habilitar um dispositivo com MFA virtual para seu usuário-raiz. Para habilitar dispositivos com MFA para a Conta da AWS, você deve estar conectado à AWS usando suas credenciais de usuário-raiz. 

**Para configurar e habilitar um dispositivo com MFA virtual para uso com seu usuário-raiz (console)**

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No lado direito da barra de navegação, escolha o nome de sua conta e escolha **Security credentials** (Credenciais de segurança).  
![\[Credenciais de segurança no menu de navegação\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Na seção **Multi-Factor Authentication (MFA)** (Autenticação multifator [MFA]), selecione **Assign MFA device** (Atribuir dispositivo de MFA).

1. No assistente, digite um **Nome de dispositivo**, escolha **Aplicação de autenticador** e escolha **Próximo**.

   O IAM gera e exibe informações de configuração para o dispositivo com MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da chave de configuração secreta que está disponível para entrada manual em dispositivos que não suportam códigos de QR.

1. Abra o aplicativo MFA virtual no dispositivo. 

   Se o aplicativo de MFA virtual oferecer suporte a vários dispositivos ou contas de MFA virtual, selecione a opção para criar uma conta ou um dispositivo MFA virtual.

1. A maneira mais fácil de configurar o aplicativo é usar o aplicativo para digitalizar o código QR. Se você não puder digitalizar o código, é possível digitar as informações de configuração manualmente. O código QR e a chave de configuração secreta gerados pelo IAM estão vinculados a sua Conta da AWS e não podem ser usados com outra conta. Entretanto, eles podem ser reutilizados para configurar um novo dispositivo MFA para a sua conta caso você perca acesso ao dispositivo MFA original.
   + Para usar o código de QR para configurar o dispositivo MFA virtual, no assistente, escolha **Mostrar código de QR**. Em seguida, siga as instruções do app para digitalizar o código. Por exemplo, pode ser necessário selecionar o ícone de câmera ou escolher um comando como **Scan account barcode (Digitalizar código de barras da conta)** e usar a câmera do dispositivo para digitalizar o código QR.
   + No assistente **Set up device** (Configurar dispositivo), selecione **Show secret key** (Exibir chave secreta) e digite a chave secreta em sua aplicação de MFA.
**Importante**  
Faça um backup seguro do código QR ou da chave de configuração secreta, ou habilite vários dispositivos de MFA para sua conta. É possível registrar até **oito** dispositivos com MFA de qualquer combinação dos [ tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) com seu Usuário raiz da conta da AWS e usuários do IAM. Um dispositivo de MFA virtual pode ficar indisponível, por exemplo, se você perder o smartphone no qual o dispositivo de MFA virtual está hospedado. Se isso acontecer e você não conseguir fazer login em sua conta sem dispositivos com MFA adicionais anexados ao usuário ou até por [Recuperar um dispositivo com MFA de usuário raiz](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), não poderá fazer login em sua conta e terá de [entrar em contato com o atendimento ao cliente](https://support.aws.amazon.com/#/contacts/aws-mfa-support) para remover a proteção de MFA da conta. 

   O dispositivo começa a gerar números de seis dígitos.

1. No assistente, na caixa **MFA code 1** (Código MFA 1), digite a senha de uso único que atualmente é exibida no dispositivo de MFA virtual. Espere até 30 segundos para que o dispositivo gere uma nova senha de uso único. Em seguida, digite a segunda senha de uso único na caixa **Código MFA 2**. Escolha **Add MFA** (Adicionar MFA). 
**Importante**  
Envie sua solicitação imediatamente após gerar o código. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).

# Habilitar um token de hardware TOTP para o usuário-raiz (console)
<a name="enable-hw-mfa-for-root"></a>

Você só pode configurar e habilitar um dispositivo de MFA físico para o seu usuário-raiz no Console de gerenciamento da AWS, não na AWS CLI e nem na API da AWS.

**nota**  
É possível ver um texto diferente, como **Fazer login usando MFA** e **Solucionar problemas do dispositivo de autenticação**. No entanto, os mesmos recursos são fornecidos. Em ambos os casos, se você não puder verificar o endereço de e-mail e o número de telefone de sua conta usando fatores alternativos de autenticação, entre em contato com o [AWS Support](https://aws.amazon.com/forms/aws-mfa-support) para excluir sua configuração de MFA.<a name="enable_physical_root"></a>

**Para habilitar um token de hardware TOTP para o usuário-raiz (console)**

1. Abra o [AWS Management Console](https://console.aws.amazon.com/) e inicie a sessão usando suas credenciais de usuário-raiz.

   Para obter instruções, consulte [Sign in to the Console de gerenciamento da AWS as the root user](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) no *Início de Sessão da AWS User Guide*.

1. No lado direito da barra de navegação, selecione o nome da conta e escolha **Security credentials** (Credenciais de segurança).  
![\[Credenciais de segurança no menu de navegação\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Expanda a seção **Multi-factor authentication (MFA) (Autenticação multifator (MFA))**.

1. Escolha **Assign MFA device** (Atribuir dispositivo de MFA).

1. No assistente, digite um **Device name** (Nome de dispositivo), escolha **Hardware TOTP token** (Token de hardware TOTP) e escolha **Next** (Avançar).

1. Na caixa **Serial number (Número de série)**, insira o número de série localizado na parte de trás do dispositivo MFA.

1. Na caixa **MFA code 1 (Código MFA 1)**, digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.  
![\[Painel do IAM, dispositivo MFA\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/MFADevice.png)

1. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa **MFA code 2 (Código MFA 2)**. Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

1. Escolha **Add MFA** (Adicionar MFA). O dispositivo de MFA agora está associado à Conta da AWS.
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

   A próxima vez que você usar suas credenciais de usuário-raiz para fazer login, você deve digitar um código do dispositivo MFA.