Autenticación multifactor (MFA) para IAM
Métodos de MFA disponibles para IAM
Puede administrar sus dispositivos de MFA en la consola de IAM. Las siguientes opciones son los métodos de MFA compatibles con IAM.
Claves de seguridad FIDO
Los proveedores externos como Yubico son los responsables de proporcionar las claves de seguridad de hardware certificadas con FIDO. FIDO Alliance mantiene una lista de todos los productos certificados con FIDO que son compatibles con las especificaciones de FIDO. Los estándares de autenticación de FIDO se basan en la criptografía de clave pública, que permite una autenticación sólida y a prueba de phishing y que es más segura que las contraseñas. Las claves de seguridad FIDO admiten varias cuentas de usuario raíz y de IAM con una única clave de seguridad. Las claves de seguridad FIDO son compatibles para usuarios de IAM de las regiones de AWS GovCloud (EE. UU.) y otras regiones de AWS. Para más información sobre cómo habilitar las claves de seguridad FIDO, consulte Habilitación de una clave de seguridad FIDO.
AWS ofrece una clave de seguridad de MFA gratuita a los propietarios de las cuentas de AWS que cumplan con determinados requisitos en los Estados Unidos. Para determinar si se cumplen los requisitos y solicitar una clave, consulte la consola de Security Hub.
Aplicaciones de autenticación virtual
Las aplicaciones de autenticación virtual implementan el algoritmo de contraseña temporal de un solo uso (TOTP) y admiten varios tokens en un solo dispositivo. Los usuarios de IAM son compatibles con los autenticadores virtuales en las regiones de AWS GovCloud (EE. UU.) y en otras regiones de AWS. Para obtener más información sobre cómo habilitar los autenticadores virtuales, consulte Habilitación de un dispositivo de autenticación multifactor (MFA) virtual.
Puede instalar aplicaciones para su teléfono inteligente desde la tienda de aplicaciones específica de su tipo de móvil. Algunos proveedores de aplicaciones también tienen aplicaciones web y de escritorio disponibles. Consulte la siguiente tabla para ver algunos ejemplos.
Tokens de hardware de TOTP
Los tokens de hardware también son compatibles con el algoritmo TOTP y los proporciona Thales, un proveedor externo. Estos tokens se utilizan exclusivamente con cuentas de AWS. Para más información, consulte Habilitar un dispositivo de MFA de hardware.
Para garantizar la compatibilidad con AWS, debe comprar sus tokens MFA a través de los enlaces de esta página. Es posible que los tokens comprados de otras fuentes no funcionen con IAM porque AWS requiere “semillas de token” únicas, es decir, claves secretas que se generan en el momento de la producción del token. Solo los tokens comprados a través de los enlaces de esta página se comparten de forma segura con AWS. Los tokens MFA se ofrecen en dos formas: el token OTP y la tarjeta gráfica OTP.
Tokens de hardware de TOTP para las regiones de AWS GovCloud (EE. UU.)
Los tokens de hardware de TOTP son compatibles con las regiones de AWS GovCloud (EE. UU.) y los proporciona Hypersecu, un proveedor externo. Estos tokens son para uso exclusivo de los usuarios de IAM con cuentas de AWS GovCloud (EE. UU.).
Para garantizar la compatibilidad con AWS, debe comprar sus tokens de MFA a través de los enlaces de esta página. Es posible que los tokens comprados de otras fuentes no funcionen con IAM porque AWS requiere “semillas de token” únicas, es decir, claves secretas que se generan en el momento de la producción del token. Solo los tokens comprados a través de los enlaces de esta página se comparten de forma segura con AWS. Los tokens MFA se ofrecen en formato de token OTP.
Descubra cómo comenzar a usar AWS IAM