Permissões obrigatórias Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)Substituir um dispositivo de MFA virtual

Atribuir um dispositivo MFA virtual ao AWS Management Console

É possível usar um telefone ou outro dispositivo como um dispositivo de autenticação multifator (MFA) virtual. Para fazer isso, instale um aplicativo móvel compatível com RFC 6238, um algoritmo TOTP (senha única baseada em tempo) baseado em padrões. Essas aplicações geram um código de autenticação de seis dígitos. Como eles podem ser executados em dispositivos móveis não protegidos, a MFA virtual talvez não forneça o mesmo nível de segurança de chaves de segurança FIDO. Recomendamos que você use um dispositivo MFA virtual ao mesmo tempo em que aguarda a aprovação da compra do hardware ou enquanto aguarda a chegada do hardware.

A maioria das aplicações de MFA virtual oferece suporte à criação de vários dispositivos virtuais, permitindo usar a mesma aplicação para várias Contas da AWS ou usuários. Você pode registrar até oito dispositivos com MFA de qualquer combinação dos tipos de MFA com seu Usuário raiz da conta da AWS e usuários do IAM. Basta um dispositivo MFA para acessar o AWS Management Console ou criar uma sessão pela AWS CLI. Recomendamos que você registre vários dispositivos de MFA. Para aplicações autenticadoras, também recomendamos habilitar o recurso de backup ou de sincronização na nuvem para ajudar a evitar a perda de acesso à sua conta caso você perca ou quebre o dispositivo.

A AWS exige uma aplicação de MFA virtual que produz uma OTP de seis dígitos. Para obter uma lista de aplicativos de MFA virtual que você pode usar, consulte Autenticação multifator.

Tópicos

Permissões obrigatórias
Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)
Substituir um dispositivo de MFA virtual

Permissões obrigatórias

Para gerenciar dispositivos com MFA virtuais para o usuário do IAM, você deve ter as permissões na seguinte política: AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos de MFA na página Credenciais de segurança.

Habilitar um dispositivo com MFA virtual para um usuário do IAM (console)

Você pode usar o IAM no AWS Management Console para habilitar e gerenciar um dispositivo com MFA virtual para um usuário do IAM em sua conta. Você pode associar tags aos seus recursos do IAM, incluindo dispositivos MFA virtuais, para identificar, organizar e controlar o acesso a eles. Os dispositivos MFA virtuais só podem ser marcados quando você usa a AWS CLI ou a API da AWS. Para habilitar e gerenciar um dispositivo MFA usando a AWS CLI ou a API da AWS, consulte Atribua dispositivos MFA na AWS CLI ou API da AWS. Para obter mais informações sobre recursos de marcação do IAM, consulte Tags para recursos do AWS Identity and Access Management.

nota

Você deve ter acesso físico ao hardware que hospedará o dispositivo MFA virtual do usuário para configurar a MFA. Por exemplo, você pode configurar a MFA para um usuário que usa um dispositivo MFA virtual executando em um smartphone. Neste caso, você precisa que o smartphone esteja disponível para concluir o assistente. Por isso, você pode optar por permitir que os usuários configurem e gerenciem seus próprios dispositivos MFA virtual. Neste caso, você deve conceder aos usuários as permissões para executar as ações necessárias do IAM. Para obter mais informações e ver um exemplo de política do IAM que concede essas permissões, consulte Tutorial do IAM: Permitir que os usuários gerenciem suas credenciais e configurações de MFA e a política de exemplo AWS: permite que os usuários do IAM autenticados por MFA gerenciem seus próprios dispositivos de MFA na página Credenciais de segurança.

Para habilitar um dispositivo com MFA virtual para um usuário do IAM (console)

Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Usuários.
Na lista Usuários, escolha o nome de usuário do IAM.
Selecione a guia Security Credentials (Credenciais de segurança). Em Multi-Factor Authentication (MFA) (autenticação multifator [MFA]), escolha Assign MFA device (Atribuir dispositivo de MFA).
No assistente, digite um Nome de dispositivo, escolha Aplicação de autenticador e escolha Próximo.

O IAM gera e exibe informações de configuração para o dispositivo com MFA virtual, incluindo um código QR gráfico. O gráfico é uma representação da "chave de configuração secreta" que está disponível para entrada manual em dispositivos que não suportam códigos QR.
Abra o seu aplicativo de MFA virtual. Para obter uma lista de aplicativos que você pode usar para hospedar dispositivos MFA virtuais, consulte Autenticação multifator.

Se o aplicativo de MFA virtual oferecer suporte a vários dispositivos ou contas de MFA virtual, selecione a opção para criar uma conta ou um dispositivo MFA virtual.
Determine se o aplicativo de MFA é compatível com códigos QR e, em seguida, execute uma das seguintes ações:
- No assistente, escolha Mostrar código de QR e, em seguida, use o app para digitalizar o código de QR. Pode ser um ícone de câmera ou a opção Digitalizar código que usa a câmera do dispositivo para digitalizar o código.
- No assistente , escolha Show secret key (Exibir chave secreta) e digite a chave secreta em sua aplicação de MFA.
Quando você tiver concluído, o dispositivo MFA virtual inicia a geração de senhas de uso único.
Na página Configurar dispositivo, na caixa Código MFA 1, digite a senha de uso único que atualmente é exibida no dispositivo MFA virtual. Espere até 30 segundos para que o dispositivo gere uma nova senha de uso único. Em seguida, digite a segunda senha de uso único na caixa Código MFA 2. Escolha Add MFA (Adicionar MFA).

Importante
Envie sua solicitação imediatamente após gerar os códigos. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA associa com êxito ao usuário, mas o dispositivo MFA está fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode ressincronizar o dispositivo.

O dispositivo MFA virtual está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o AWS Management Console, consulte Login habilitado para MFA.

Substituir um dispositivo de MFA virtual

Seu Usuário raiz da conta da AWS e usuários do IAM podem registrar até oito dispositivos MFA de qualquer combinação de tipos de MFA. Se o usuário perder um dispositivo ou precisar substituí-lo por algum motivo, desative o dispositivo antigo. Em seguida, você pode adicionar o novo dispositivo para o usuário.

Para desativar o dispositivo associado no momento a outro usuário do IAM, consulte Desativar um dispositivo com MFA.
Para adicionar um dispositivo com MFA virtual de substituição para outro usuário do IAM, siga as etapas no procedimento Habilitar um dispositivo com MFA virtual para um usuário do IAM (console) acima.
Para adicionar um dispositivo de MFA virtual de substituição para o Usuário raiz da conta da AWS, siga as etapas no procedimento Habilitar um dispositivo MFA virtual para o usuário-raiz (console).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurações compatíveis com o uso de chaves de acesso e chaves de segurança

Atribuir um token de hardware TOTP