Autenticação multifator (MFA) para o IAM

O que é a MFA?

A autenticação multifator (MFA) da AWS é uma melhor prática do AWS Identity and Access Management (IAM) que exige um segundo fator de autenticação, além das credenciais de login com nome de usuário e senha. É possível habilitar a MFA no nível da conta da AWS e para usuários raiz e do IAM que você criou na sua conta.  
 
A AWS está expandindo a qualificação para o programa gratuito de chaves de segurança MFA. Verifique sua qualificação e solicite sua chave MFA gratuita.
 
Com a MFA habilitada, quando um usuário faz login no Console de Gerenciamento da AWS, deve fornecer o nome de usuário e a senha ( algo que ele sabe), bem como um código de autenticação do dispositivo de MFA ( algo que ele tem ou, no caso de usar um autenticador habilitado para biometria, algo que ele é). Juntos, esses fatores reforçam a segurança de suas contas e recursos da AWS.
 
Nossa recomendação é que você exija que seus usuários humanos usem credenciais temporárias ao acessarem a AWS. Os usuários podem usar um provedor de identidade para se federar na AWS, onde são capazes de se autenticar com suas credenciais corporativas e configurações de MFA. Para gerenciar o acesso à AWS e a aplicações de negócios, recomendamos que você use o Centro de Identidade do AWS IAM. Para obter mais informações, consulte o Guia do usuário do Centro de Identidade do IAM.
 
Veja as seguintes opções de MFA disponíveis que você pode usar com sua implementação de MFA do IAM. Você pode baixar aplicações de autenticadores virtuais por meio dos links fornecidos ou pode adquirir um dispositivo de MFA de hardware do respectivo fabricante. Depois que você obtém um dispositivo de MFA virtual ou de hardware compatível, a AWS não cobra taxas adicionais pela utilização da MFA.

Métodos de MFA disponíveis para o IAM

Gerencie seus dispositivos de MFA no console do IAM. As opções a seguir são os métodos de MFA compatíveis com o IAM.

Chaves de acesso e chaves de segurança

As chaves de acesso e as chaves de segurança são baseadas nos padrões FIDO para fornecer logins mais fáceis e seguros nos dispositivos do usuário. Os padrões de autenticação FIDO são baseados na criptografia de chave pública, que possibilita uma autenticação forte e resistente a phishing que é mais segura do que senhas. As chaves de acesso são criadas com o provedor de chaves de acesso escolhido, como iCloud Keychain, Google Password Manager, 1Password ou Dashlane, usando sua impressão digital, facial ou PIN do dispositivo, e são sincronizadas entre seus dispositivos para fazer login na AWS. Os clientes também podem usar chaves de acesso vinculadas ao dispositivo, também conhecidas como chaves de segurança, fornecidas por fornecedores terceirizados, como a Yubico. A FIDO Alliance mantém uma lista de todos os produtos certificados pela FIDO que são compatíveis com as especificações da FIDO. As chaves de segurança da FIDO podem oferecer suporte a várias contas raiz e usuários do IAM usando uma única chave de segurança. As chaves de acesso e as chaves de segurança são compatíveis com usuários raiz e do IAM em todas as regiões da AWS, exceto na região da AWS China (Pequim), operada pela Sinnet, e na região da AWS (Ningxia), operada pela NWCD. Para obter mais informações sobre como habilitar chaves de segurança da FIDO, consulte Habilitar uma chave de segurança.

A AWS oferece uma chave de segurança MFA gratuita para proprietários de contas da AWS qualificados nos Estados Unidos. Para determinar a qualificação e solicitar uma chave, consulte o console do Security Hub.

Aplicações de autenticadores virtuais

As aplicações de autenticadores virtuais implementam o algoritmo de senha de uso único com marcação temporal (TOTP) e oferecem suporte a vários tokens em um único dispositivo. Autenticadores virtuais são compatíveis com usuários do IAM nas regiões AWS GovCloud (EUA) e em outras regiões da AWS. Para obter mais informações sobre como habilitar autenticadores virtuais, consulte Habilitar um dispositivo virtual de autenticação multifator (MFA).

Você pode instalar aplicações para seu smartphone na loja de aplicações específica para o seu tipo de smartphone. Alguns provedores de aplicações também têm aplicações Web e de desktop disponíveis. Consulte a tabela a seguir para ver exemplos.

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

Tokens TOTP de hardware

Tokens de hardware também oferecem suporte ao algoritmo TOTP e são fornecidos pela Thales, um fornecedor terceirizado. Esses tokens devem ser usados exclusivamente com contas da AWS. Para obter mais informações, consulte Habilitar um dispositivo de hardware de MFA.

Para garantir a compatibilidade com a AWS, você deve comprar os tokens de MFA por meio dos links desta página. Os tokens comprados de outras fontes podem não funcionar com o IAM porque a AWS exige “sementes de token” exclusivas, chaves secretas geradas no momento da produção do token. Somente os tokens comprados por meio dos links desta página têm sementes de token compartilhadas de maneira segura com a AWS. Os tokens de MFA são oferecidos em duas formas: token OTP e placa de exibição OTP.

Tokens de hardware TOTP para as regiões AWS GovCloud (EUA)

Os tokens de hardware TOTP são compatíveis nas regiões AWS GovCloud (EUA) e são fornecidos pela Hypersecu, um provedor terceirizado. Esses tokens devem ser usados exclusivamente por usuários do IAM com contas na AWS GovCloud (EUA).

Para garantir a compatibilidade com a AWS, você deve comprar os tokens de MFA por meio dos links desta página. Os tokens comprados de outras fontes podem não funcionar com o IAM porque a AWS exige “sementes de token” exclusivas, chaves secretas geradas no momento da produção do token. Somente os tokens comprados por meio dos links desta página têm sementes de token compartilhadas de maneira segura com a AWS. Os tokens de MFA são oferecidos no formato de token OTP.