Autenticación multifactor (MFA) para IAM

La autenticación multifactor (MFA) de AWS es una práctica recomendada de AWS Identity and Access Management (IAM) que requiere un segundo factor de autenticación además de las credenciales de inicio de sesión con nombre de usuario y contraseña. Puede habilitar MFA por cuenta de AWS para los usuarios raíz y de IAM que haya creado en su cuenta.
 
AWS está ampliando la elegibilidad de su programa gratuito de claves de seguridad para MFA. Compruebe si cumple los requisitos y solicite su clave de MFA gratuita.
 
Si habilita MFA, cuando un usuario inicia sesión en la Consola de administración de AWS, se le pide su nombre de usuario y contraseña ( algo que conoce) y un código de autenticación de su dispositivo de MFA ( algo que tiene o, si utiliza la autenticación biométrica, algo que el usuario es). En conjunto, estos factores mejoran la seguridad de sus cuentas y recursos de AWS.
 
Le recomendamos que exija a los usuarios humanos que utilicen credenciales temporales para acceder a AWS. Pueden utilizar un proveedor de identidades para federarse en AWS, donde pueden autenticarse con sus credenciales corporativas y configuraciones de MFA. Para administrar el acceso a AWS y a las aplicaciones empresariales, le recomendamos que utilice AWS IAM Identity Center. Para más información, consulte la Guía del usuario de IAM Identity Center.
 
Consulte las siguientes opciones que ofrece MFA y que puede utilizar con su implementación de MFA de IAM. Puede descargar aplicaciones de autenticación virtual a través de los enlaces proporcionados o puede adquirir un dispositivo de MFA de hardware del fabricante correspondiente. Después de adquirir un dispositivo de MFA de hardware o virtual compatible, AWS no le cobrará ninguna tarifa adicional por el uso de MFA.

Métodos de MFA disponibles para IAM

Puede administrar sus dispositivos de MFA en la consola de IAM. Las siguientes opciones son los métodos de MFA compatibles con IAM.

Claves de seguridad FIDO

Los proveedores externos como Yubico son los responsables de proporcionar las claves de seguridad de hardware certificadas con FIDO. FIDO Alliance mantiene una lista de todos los productos certificados con FIDO  que son compatibles con las especificaciones de FIDO. Los estándares de autenticación de FIDO se basan en la criptografía de clave pública, que permite una autenticación sólida y a prueba de phishing y que es más segura que las contraseñas. Las claves de seguridad FIDO admiten varias cuentas de usuario raíz y de IAM con una única clave de seguridad. Las claves de seguridad FIDO son compatibles para usuarios de IAM de las regiones de AWS GovCloud (EE. UU.) y otras regiones de AWS. Para más información sobre cómo habilitar las claves de seguridad FIDO, consulte Habilitación de una clave de seguridad FIDO.

AWS ofrece una clave de seguridad de MFA gratuita a los propietarios de las cuentas de AWS que cumplan con determinados requisitos en los Estados Unidos. Para determinar si se cumplen los requisitos y solicitar una clave, consulte la consola de Security Hub.

Icono de clave de seguridad

Aplicaciones de autenticación virtual

Las aplicaciones de autenticación virtual implementan el algoritmo de contraseña temporal de un solo uso (TOTP) y admiten varios tokens en un solo dispositivo. Los usuarios de IAM son compatibles con los autenticadores virtuales en las regiones de AWS GovCloud (EE. UU.) y en otras regiones de AWS. Para obtener más información sobre cómo habilitar los autenticadores virtuales, consulte Habilitación de un dispositivo de autenticación multifactor (MFA) virtual.

Puede instalar aplicaciones para su teléfono inteligente desde la tienda de aplicaciones específica de su tipo de móvil. Algunos proveedores de aplicaciones también tienen aplicaciones web y de escritorio disponibles. Consulte la siguiente tabla para ver algunos ejemplos.

Icono de la aplicación de autenticación virtual

Tokens de hardware de TOTP

Los tokens de hardware también son compatibles con el algoritmo TOTP y los proporciona Thales, un proveedor externo. Estos tokens se utilizan exclusivamente con cuentas de AWS. Para más información, consulte Habilitar un dispositivo de MFA de hardware.

Para garantizar la compatibilidad con AWS, debe comprar sus tokens MFA a través de los enlaces de esta página. Es posible que los tokens comprados de otras fuentes no funcionen con IAM porque AWS requiere “semillas de token” únicas, es decir, claves secretas que se generan en el momento de la producción del token. Solo los tokens comprados a través de los enlaces de esta página se comparten de forma segura con AWS. Los tokens MFA se ofrecen en dos formas: el token OTP y la tarjeta gráfica OTP.

Tokens de hardware de TOTP para las regiones de AWS GovCloud (EE. UU.)

Los tokens de hardware de TOTP son compatibles con las regiones de AWS GovCloud (EE. UU.) y los proporciona Hypersecu, un proveedor externo. Estos tokens son para uso exclusivo de los usuarios de IAM con cuentas de AWS GovCloud (EE. UU.).

Para garantizar la compatibilidad con AWS, debe comprar sus tokens de MFA a través de los enlaces de esta página. Es posible que los tokens comprados de otras fuentes no funcionen con IAM porque AWS requiere “semillas de token” únicas, es decir, claves secretas que se generan en el momento de la producción del token. Solo los tokens comprados a través de los enlaces de esta página se comparten de forma segura con AWS. Los tokens MFA se ofrecen en formato de token OTP.

Icono del token de hardware de TOTP

Descubra cómo comenzar a usar AWS IAM

Visite la página de inicio
¿Listo para crear?
Introducción a AWS IAM
¿Tiene más preguntas?
Contacte con nosotros