Autenticación multifactor (MFA) para IAM

¿Qué es MFA?

La autenticación multifactor (MFA) de AWS es una práctica recomendada de AWS Identity and Access Management (IAM) que requiere un segundo factor de autenticación además de las credenciales de inicio de sesión con nombre de usuario y contraseña. Puede habilitar la MFA a nivel de cuenta de AWS para los usuarios raíz y de IAM que haya creado en su cuenta.  
 
AWS está ampliando la elegibilidad para su programa gratuito de claves de seguridad de MFA. Compruebe si cumple con los requisitos y solicite su clave de MFA gratuita.
 
Si habilita MFA, cuando un usuario inicia sesión en la Consola de administración de AWS, se le solicita su nombre de usuario y contraseña, algo que conoce, y un código de autenticación de su dispositivo de MFA, algo que tiene (o si utiliza la autenticación biométrica, algo que es). En conjunto, estos factores mejoran la seguridad de sus cuentas y recursos de AWS.
 
Le recomendamos que exija a los usuarios humanos que utilicen credenciales temporales para acceder a AWS. Pueden utilizar un proveedor de identidades para federarse en AWS, donde pueden autenticarse con sus credenciales corporativas y configuraciones de MFA. Para administrar el acceso a AWS y a las aplicaciones empresariales, le recomendamos que utilice AWS IAM Identity Center. Para obtener más información, consulte la Guía del usuario de IAM Identity Center.
 
Consulte las siguientes opciones que ofrece MFA y que puede utilizar con su implementación de MFA de IAM. Puede descargar aplicaciones de autenticación virtual a través de los enlaces proporcionados o puede adquirir un dispositivo de MFA de hardware del fabricante correspondiente. Después de adquirir un dispositivo de MFA de hardware o virtual compatible, AWS no le cobrará ninguna tarifa adicional por el uso de MFA.

Métodos de MFA disponibles para IAM

Puede administrar los dispositivos de MFA en la consola de IAM. Las siguientes opciones son los métodos de MFA compatibles con IAM.

Claves de acceso y claves de seguridad

Las claves de acceso y las claves de seguridad se basan en los estándares FIDO para proporcionar un inicio de sesión más fácil y seguro en todos los dispositivos de los usuarios. Los estándares de autenticación FIDO se basan en la criptografía de clave pública, que permite una autenticación sólida y a prueba de phishing y que es más segura que las contraseñas. Las claves de acceso se crean con el proveedor de claves de acceso que elija, como iCloud Keychain, Administrador de contraseñas de Google, 1Password o Dashlane, con su huella digital, rostro o pin del dispositivo, y se sincronizan en todos sus dispositivos para iniciar sesión en AWS. Los clientes también pueden usar claves de acceso vinculadas al dispositivo, también conocidas como claves de seguridad, que proporcionan proveedores externos como Yubico. FIDO Alliance mantiene una lista de todos los productos certificados por FIDO que son compatibles con las especificaciones de FIDO. Las claves de seguridad FIDO pueden admitir varias cuentas de usuario raíz y de IAM con una única clave de seguridad. Las claves de acceso y las claves de seguridad son compatibles con los usuarios raíz y de IAM en todas las regiones de AWS, excepto en la región de AWS China (Pekín), gestionada por Sinnet, y en la región de AWS China (Ningxia), gestionada por NWCD. Para obtener más información sobre cómo habilitar las claves de seguridad FIDO, consulte Habilitar una clave de paso o clave de seguridad.

AWS ofrece una clave de seguridad de MFA gratuita a los propietarios de las cuentas de AWS que cumplan con determinados requisitos en los Estados Unidos. Para determinar si cumple con los requisitos y solicitar una clave, vaya a la consola de Security Hub.

Aplicaciones de autenticación virtual

Las aplicaciones de autenticación virtual aplican el algoritmo de contraseña temporal de un solo uso (TOTP) y admiten varios tokens en un mismo dispositivo. Los usuarios de IAM son compatibles con los autenticadores virtuales en las regiones de AWS GovCloud (EE. UU.) y en otras regiones de AWS. Para obtener más información sobre cómo habilitar los autenticadores virtuales, consulte Habilitar un dispositivo de autenticación multifactor (MFA) virtual.

Puede instalar aplicaciones para su teléfono inteligente desde la tienda de aplicaciones específica de su tipo de móvil. Algunos proveedores de aplicaciones también tienen aplicaciones web y de escritorio disponibles. Consulte la siguiente tabla para ver algunos ejemplos.

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

Tokens de hardware de TOTP

Los tokens de hardware también son compatibles con el algoritmo TOTP y los proporciona Thales, un proveedor externo. Estos tokens se utilizan exclusivamente con cuentas de AWS. Para obtener más información, consulte Habilitar un dispositivo de MFA de hardware.

Para garantizar la compatibilidad con AWS, debe comprar sus tokens MFA a través de los enlaces de esta página. Es posible que los tokens comprados de otras fuentes no funcionen con IAM porque AWS requiere “semillas de token” únicas, es decir, claves secretas que se generan en el momento de la producción del token. Solo los tokens comprados a través de los enlaces de esta página se comparten de forma segura con AWS. Los tokens MFA están disponibles en dos formas: el token OTP y la tarjeta gráfica OTP.

Tokens de hardware de TOTP para las regiones de AWS GovCloud (EE. UU.)

Los tokens de hardware de TOTP son compatibles con las regiones de AWS GovCloud (EE. UU.) y los proporciona Hypersecu, un proveedor externo. Estos tokens son para uso exclusivo de los usuarios de IAM con cuentas de AWS GovCloud (EE. UU.).

Para garantizar la compatibilidad con AWS, debe comprar sus tokens de MFA a través de los enlaces de esta página. Es posible que los tokens comprados de otras fuentes no funcionen con IAM porque AWS requiere “semillas de token” únicas, es decir, claves secretas que se generan en el momento de la producción del token. Solo los tokens comprados a través de los enlaces de esta página se comparten de forma segura con AWS. Los tokens de MFA están disponibles en formato de token OTP.