Autenticação multifator (MFA) para o IAM
O que é a MFA?
Métodos de MFA disponíveis para o IAM
Gerencie seus dispositivos de MFA no console do IAM. As opções a seguir são os métodos de MFA compatíveis com o IAM.
Chaves de acesso e chaves de segurança
As chaves de acesso e as chaves de segurança são baseadas nos padrões FIDO para fornecer logins mais fáceis e seguros nos dispositivos do usuário. Os padrões de autenticação FIDO são baseados na criptografia de chave pública, que possibilita uma autenticação forte e resistente a phishing que é mais segura do que senhas. As chaves de acesso são criadas com o provedor de chaves de acesso escolhido, como iCloud Keychain, Google Password Manager, 1Password ou Dashlane, usando sua impressão digital, facial ou PIN do dispositivo, e são sincronizadas entre seus dispositivos para fazer login na AWS. Os clientes também podem usar chaves de acesso vinculadas ao dispositivo, também conhecidas como chaves de segurança, fornecidas por fornecedores terceirizados, como a Yubico. A FIDO Alliance mantém uma lista de todos os produtos certificados pela FIDO que são compatíveis com as especificações da FIDO. As chaves de segurança da FIDO podem oferecer suporte a várias contas raiz e usuários do IAM usando uma única chave de segurança. As chaves de acesso e as chaves de segurança são compatíveis com usuários raiz e do IAM em todas as regiões da AWS, exceto na região da AWS China (Pequim), operada pela Sinnet, e na região da AWS (Ningxia), operada pela NWCD. Para obter mais informações sobre como habilitar chaves de segurança da FIDO, consulte Habilitar uma chave de segurança.
A AWS oferece uma chave de segurança MFA gratuita para proprietários de contas da AWS qualificados nos Estados Unidos. Para determinar a qualificação e solicitar uma chave, consulte o console do Security Hub.
Aplicações de autenticadores virtuais
As aplicações de autenticadores virtuais implementam o algoritmo de senha de uso único com marcação temporal (TOTP) e oferecem suporte a vários tokens em um único dispositivo. Autenticadores virtuais são compatíveis com usuários do IAM nas regiões AWS GovCloud (EUA) e em outras regiões da AWS. Para obter mais informações sobre como habilitar autenticadores virtuais, consulte Habilitar um dispositivo virtual de autenticação multifator (MFA).
Você pode instalar aplicações para seu smartphone na loja de aplicações específica para o seu tipo de smartphone. Alguns provedores de aplicações também têm aplicações Web e de desktop disponíveis. Consulte a tabela a seguir para ver exemplos.
Tokens TOTP de hardware
Tokens de hardware também oferecem suporte ao algoritmo TOTP e são fornecidos pela Thales, um fornecedor terceirizado. Esses tokens devem ser usados exclusivamente com contas da AWS. Para obter mais informações, consulte Habilitar um dispositivo de hardware de MFA.
Para garantir a compatibilidade com a AWS, você deve comprar os tokens de MFA por meio dos links desta página. Os tokens comprados de outras fontes podem não funcionar com o IAM porque a AWS exige “sementes de token” exclusivas, chaves secretas geradas no momento da produção do token. Somente os tokens comprados por meio dos links desta página têm sementes de token compartilhadas de maneira segura com a AWS. Os tokens de MFA são oferecidos em duas formas: token OTP e placa de exibição OTP.
Tokens de hardware TOTP para as regiões AWS GovCloud (EUA)
Os tokens de hardware TOTP são compatíveis nas regiões AWS GovCloud (EUA) e são fornecidos pela Hypersecu, um provedor terceirizado. Esses tokens devem ser usados exclusivamente por usuários do IAM com contas na AWS GovCloud (EUA).
Para garantir a compatibilidade com a AWS, você deve comprar os tokens de MFA por meio dos links desta página. Os tokens comprados de outras fontes podem não funcionar com o IAM porque a AWS exige “sementes de token” exclusivas, chaves secretas geradas no momento da produção do token. Somente os tokens comprados por meio dos links desta página têm sementes de token compartilhadas de maneira segura com a AWS. Os tokens de MFA são oferecidos no formato de token OTP.