Autenticação multifator (MFA) para o IAM

A autenticação multifator da AWS (MFA) é uma prática recomendada do AWS Identity and Access Management (IAM) que exige um segundo fator de autenticação, além das credenciais de login com nome de usuário e senha. É possível habilitar a MFA no nível da conta da AWS e para usuários raiz e do IAM que você criou na sua conta.
A AWS está expandindo a qualificação para seu programa gratuito de chaves de segurança MFA. Verifique sua qualificação e solicite sua chave MFA gratuita.
 
Com a MFA habilitada, quando um usuário faz login no Console de Gerenciamento da AWS, ele é solicitado a fornecer o nome de usuário e a senha ( algo que ele sabe), bem como um código de autenticação de seu dispositivo de MFA ( algo que ele tem ou, no caso de usar um autenticador habilitado para biometria, algo que ele é). Juntos, esses fatores reforçam a segurança de suas contas e recursos da AWS.
 
Nossa recomendação é que você exija que seus usuários humanos usem credenciais temporárias ao acessarem a AWS. Os usuários podem usar um provedor de identidade para se federar na AWS, onde são capazes de se autenticar com suas credenciais corporativas e configurações de MFA. Para gerenciar o acesso à AWS e a aplicações de negócios, recomendamos que você use o Centro de Identidade do AWS IAM. Para obter mais informações, consulte o Guia do usuário do Centro de Identidade do IAM.
 
Veja as seguintes opções de MFA disponíveis que você pode usar com sua implementação de MFA do IAM. Você pode baixar aplicações de autenticadores virtuais por meio dos links fornecidos ou pode adquirir um dispositivo de MFA de hardware do respectivo fabricante. Depois que você obtém um dispositivo de MFA virtual ou de hardware compatível, a AWS não cobra taxas adicionais pela utilização da MFA.

Métodos de MFA disponíveis para o IAM

Você pode gerenciar seus dispositivos de MFA no console do IAM. As opções a seguir são os métodos de MFA compatíveis com o IAM.

Chaves de segurança da FIDO

As chaves de segurança de hardware certificadas pela FIDO são disponibilizadas por fornecedores terceirizados, como a Yubico. A FIDO Alliance mantém uma lista de todos os produtos certificados pela FIDO  que são compatíveis com as especificações da FIDO. Os padrões de autenticação FIDO são baseados na criptografia de chave pública, que possibilita uma autenticação forte e resistente a phishing que é mais segura do que senhas. As chaves de segurança da FIDO oferecem suporte a várias contas raiz e usuários do IAM usando uma única chave de segurança. As chaves e segurança da FIDO são compatíveis com usuários do IAM nas regiões AWS GovCloud (EUA) e em outras regiões da AWS. Para obter mais informações sobre como habilitar chaves de segurança da FIDO, consulte Habilitar uma chave de segurança da FIDO.

A AWS oferece uma chave de segurança MFA gratuita para proprietários de contas da AWS qualificados nos Estados Unidos. Para determinar a qualificação e solicitar uma chave, consulte o console do Security Hub.

Ícone de chave de segurança

Aplicações de autenticadores virtuais

As aplicações de autenticadores virtuais implementam o algoritmo de senha de uso único com marcação temporal (TOTP) e oferecem suporte a vários tokens em um único dispositivo. Autenticadores virtuais são compatíveis com usuários do IAM nas regiões AWS GovCloud (EUA) e em outras regiões da AWS. Para obter mais informações sobre como habilitar autenticadores virtuais, consulte Habilitar um dispositivo virtual de autenticação multifator (MFA).

Você pode instalar aplicações para seu smartphone na loja de aplicações específica para o seu tipo de smartphone. Alguns provedores de aplicações também têm aplicações Web e de desktop disponíveis. Consulte a tabela a seguir para ver exemplos.

 Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
 iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
Ícone de aplicação de autenticador virtual

Tokens TOTP de hardware

Tokens de hardware também oferecem suporte ao algoritmo TOTP e são fornecidos pela Thales, um fornecedor terceirizado. Esses tokens devem ser usados exclusivamente com contas da AWS. Para obter mais informações, consulte Habilitar um dispositivo de hardware de MFA.

Para garantir a compatibilidade com a AWS, você deve comprar os tokens de MFA por meio dos links desta página. Os tokens comprados de outras fontes podem não funcionar com o IAM porque a AWS exige “sementes de token” exclusivas, chaves secretas geradas no momento da produção do token. Somente os tokens comprados por meio dos links desta página têm sementes de token compartilhadas de maneira segura com a AWS. Os tokens de MFA são oferecidos em duas formas: token OTP e placa de exibição OTP.

Tokens de hardware TOTP para as regiões AWS GovCloud (EUA)

Os tokens de hardware TOTP são compatíveis nas regiões AWS GovCloud (EUA) e são fornecidos pela Hypersecu, um provedor terceirizado. Esses tokens devem ser usados exclusivamente por usuários do IAM com contas na AWS GovCloud (EUA).

Para garantir a compatibilidade com a AWS, você deve comprar os tokens de MFA por meio dos links desta página. Os tokens comprados de outras fontes podem não funcionar com o IAM porque a AWS exige “sementes de token” exclusivas, chaves secretas geradas no momento da produção do token. Somente os tokens comprados por meio dos links desta página têm sementes de token compartilhadas de maneira segura com a AWS. Os tokens de MFA são oferecidos no formato de token OTP.

Ícone do token de hardware TOTP

Saiba como começar a usar o AWS IAM

Visite a página de conceitos básicos
Pronto para criar?
Comece a usar o AWS IAM
Mais dúvidas?
Entre em contato conosco