Pular para o conteúdo principal

AWS Identity & Access Management

Autenticação multifator (MFA) para o IAM

O que é a MFA?

A autenticação multifator (MFA) da AWS é a melhor prática do AWS Identity and Access Management (IAM) que exige um segundo fator de autenticação, além das credenciais de login de nome de usuário e senha. É possível habilitar a MFA no nível da conta da AWS e para usuários raiz e do IAM que você criou na sua conta.  
 
A AWS está expandindo a elegibilidade para seu programa gratuito de chaves de segurança MFA. Verifique sua elegibilidade e solicite sua chave MFA gratuita.
 
Com a MFA habilitada, quando um usuário faz login no AWS Management Console, ele é solicitado a fornecer seu nome de usuário e senha — algo que ele sabe — e um código de autenticação do seu dispositivo de MFA — algo que ele tem (ou, se ele usa um autenticador com biometria, algo que ele tem). Juntos, esses fatores reforçam a segurança de suas contas e recursos da AWS.
 
Nossa recomendação é que você exija que seus usuários humanos usem credenciais temporárias ao acessarem a AWS. Os usuários podem usar um provedor de identidade para se federar na AWS, onde são capazes de se autenticar com suas credenciais corporativas e configurações de MFA. Para gerenciar o acesso à AWS e a aplicações de negócios, recomendamos que você use o Centro de Identidade do AWS IAM. Para obter mais informações, consulte o Guia do usuário do Centro de Identidade do IAM.
 
Veja as seguintes opções de MFA disponíveis que você pode usar com sua implementação de MFA do IAM. Você pode baixar aplicações de autenticadores virtuais por meio dos links fornecidos ou pode adquirir um dispositivo de MFA de hardware do respectivo fabricante. Depois que você obtém um dispositivo de MFA virtual ou de hardware compatível, a AWS não cobra taxas adicionais pela utilização da MFA.

Métodos de MFA disponíveis para o IAM

Você pode gerenciar seus dispositivos de MFA no console do IAM. As opções a seguir são os métodos de MFA compatíveis com o IAM.

Chaves de acesso e chaves de segurança

As chaves de acesso e as chaves de segurança são baseadas nos padrões FIDO para fornecer logins mais fáceis e seguros nos dispositivos do usuário. Os padrões de autenticação FIDO são baseados na criptografia de chave pública, que possibilita uma autenticação forte e resistente a phishing que é mais segura do que senhas. As chaves de acesso são criadas com o provedor de chaves de acesso escolhido, como iCloud Keychain, Google Password Manager, 1Password ou Dashlane, usando sua impressão digital, facial ou PIN do dispositivo, e são sincronizadas entre seus dispositivos para fazer login na AWS. Os clientes também podem usar chaves de acesso vinculadas ao dispositivo, também conhecidas como chaves de segurança, fornecidas por fornecedores terceirizados, como a Yubico. A FIDO Alliance mantém uma lista de todos os produtos certificados pela FIDO que são compatíveis com as especificações da FIDO. As chaves de segurança da FIDO podem oferecer suporte a várias contas raiz e usuários do IAM usando uma única chave de segurança. As chaves de acesso e as chaves de segurança são compatíveis com usuários raiz e do IAM em todas as regiões da AWS, exceto na região da AWS China (Pequim), operada pela Sinnet, e na região da AWS (Ningxia), operada pela NWCD. Para obter mais informações sobre como ativar as chaves de segurança FIDO, consulte Habilitando uma chave de acesso ou chave de segurança.

A AWS oferece uma chave de segurança MFA gratuita para proprietários de contas da AWS qualificados nos Estados Unidos. Para determinar a elegibilidade e solicitar uma chave, consulte o console do Security Hub.

Aplicações de autenticadores virtuais

Os aplicativos de autenticação virtual implementam o algoritmo de senha única baseada em tempo (TOTP) e oferecem suporte a vários tokens em um único dispositivo. Os autenticadores virtuais são compatíveis com usuários do IAM nas regiões AWS GovCloud (EUA) e em outras regiões da AWS. Para obter mais informações sobre como habilitar autenticadores virtuais, consulte Habilitando um dispositivo virtual de autenticação multifator (MFA).

Você pode instalar aplicações para seu smartphone na loja de aplicações específica para o seu tipo de smartphone. Alguns provedores de aplicações também têm aplicações Web e de desktop disponíveis. Consulte a tabela a seguir para ver exemplos.

Android: Autenticador Twilio Authy, Duo Mobile, Microsoft Authenticator , Google Authenticator, Symantec VIP

IOS: Autenticador Twilio Authy, Duo Mobile, Microsoft Authenticator , Google Authenticator, Symantec VIP

Tokens TOTP de hardware

Os tokens de hardware também suportam o algoritmo TOTP e são fornecidos pela Thales, um fornecedor terceirizado. Esses tokens devem ser usados exclusivamente com contas da AWS. Para obter mais informações, consulte Habilitar um dispositivo de MFA de hardware.

Para garantir a compatibilidade com a AWS, você deve comprar os tokens de MFA por meio dos links desta página. Os tokens comprados de outras fontes podem não funcionar com o IAM porque a AWS exige “sementes de token” exclusivas, chaves secretas geradas no momento da produção do token. Somente os tokens comprados por meio dos links desta página têm sementes de token compartilhadas de maneira segura com a AWS. Os tokens MFA são oferecidos em duas formas: o token OTP e a placa de exibição OTP.

Tokens de hardware TOTP para as regiões AWS GovCloud (EUA)

Os tokens TOTP de hardware são compatíveis com as regiões AWS GovCloud (EUA) e são fornecidos pela Hypersecu, um fornecedor terceirizado. Esses tokens devem ser usados exclusivamente por usuários do IAM com contas na AWS GovCloud (EUA).

Para garantir a compatibilidade com a AWS, você deve comprar os tokens de MFA por meio dos links desta página. Os tokens comprados de outras fontes podem não funcionar com o IAM porque a AWS exige “sementes de token” exclusivas, chaves secretas geradas no momento da produção do token. Somente os tokens comprados por meio dos links desta página têm sementes de token compartilhadas de maneira segura com a AWS. Os tokens MFA são oferecidos no formato de token OTP.