Autenticación multifactor (MFA) para IAM

Puede administrar sus dispositivos de MFA en la consola de IAM. Las siguientes opciones son los métodos de MFA compatibles con IAM.

Las claves de acceso y las claves de seguridad se basan en los estándares FIDO para proporcionar un inicio de sesión más fácil y seguro en todos los dispositivos de los usuarios. Los estándares de autenticación FIDO se basan en la criptografía de clave pública, que permite una autenticación sólida y a prueba de phishing y que es más segura que las contraseñas. Las claves de acceso se crean con el proveedor de claves de acceso que elija, como iCloud Keychain, Administrador de contraseñas de Google, 1Password o Dashlane, con su huella digital, rostro o pin del dispositivo, y se sincronizan en todos sus dispositivos para iniciar sesión en AWS. Los clientes también pueden usar claves de acceso vinculadas al dispositivo, también conocidas como claves de seguridad, que proporcionan proveedores externos como Yubico. FIDO Alliance mantiene una lista de todos los productos certificados con FIDO que son compatibles con las especificaciones de FIDO. Las claves de seguridad FIDO pueden admitir varias cuentas de usuario raíz y de IAM con una única clave de seguridad. Las claves de acceso y las claves de seguridad son compatibles con los usuarios raíz y de IAM en todas las regiones de AWS, excepto en la región de AWS China (Pekín), gestionada por Sinnet, y en la región de AWS China (Ningxia), gestionada por NWCD. Para más información sobre cómo habilitar las claves de seguridad FIDO, consulte Habilitación de una clave de seguridad FIDO (consola).

AWS ofrece una clave de seguridad de MFA gratuita a los propietarios de las cuentas de AWS que cumplan con determinados requisitos en los Estados Unidos. Para determinar si se cumplen los requisitos y solicitar una clave, vaya a la consola de Security Hub.

Las aplicaciones de autenticación virtual implementan el algoritmo de contraseña temporal de un solo uso (TOTP) y admiten varios tokens en un solo dispositivo. Los usuarios de IAM son compatibles con los autenticadores virtuales en las regiones de AWS GovCloud (EE. UU.) y en otras regiones de AWS. Para obtener más información sobre cómo habilitar los autenticadores virtuales, consulte Habilitación de un dispositivo de autenticación multifactor (MFA) virtual.

Puede instalar aplicaciones para su teléfono inteligente desde la tienda de aplicaciones específica de su tipo de móvil. Algunos proveedores de aplicaciones también tienen aplicaciones web y de escritorio disponibles. Consulte la siguiente tabla para ver algunos ejemplos.

Los tokens de hardware también son compatibles con el algoritmo TOTP y los proporciona Thales, un proveedor externo. Estos tokens se utilizan exclusivamente con cuentas de AWS. Para más información, consulte Habilitar un dispositivo de MFA de hardware.

Para garantizar la compatibilidad con AWS, debe comprar sus tokens MFA a través de los enlaces de esta página. Es posible que los tokens comprados de otras fuentes no funcionen con IAM porque AWS requiere “semillas de token” únicas, es decir, claves secretas que se generan en el momento de la producción del token. Solo los tokens comprados a través de los enlaces de esta página se comparten de forma segura con AWS. Los tokens MFA se ofrecen en dos formas: el token OTP y la tarjeta gráfica OTP.

Los tokens de hardware de TOTP son compatibles con las regiones de AWS GovCloud (EE. UU.) y los proporciona Hypersecu, un proveedor externo. Estos tokens son para uso exclusivo de los usuarios de IAM con cuentas de AWS GovCloud (EE. UU.).

Para garantizar la compatibilidad con AWS, debe comprar sus tokens de MFA a través de los enlaces de esta página. Es posible que los tokens comprados de otras fuentes no funcionen con IAM porque AWS requiere “semillas de token” únicas, es decir, claves secretas que se generan en el momento de la producción del token. Solo los tokens comprados a través de los enlaces de esta página se comparten de forma segura con AWS. Los tokens de MFA se ofrecen en formato de token OTP.