Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autenticación multifactor (MFA) en el Kit de herramientas para Visual Studio
<a name="mfa-credentials"></a>

La autenticación multifactor (MFA) es una seguridad adicional para AWS sus cuentas. La MFA exige que los usuarios proporcionen credenciales de inicio de sesión y una autenticación única desde un mecanismo de AWS MFA compatible al acceder a sitios web o servicios. AWS 

AWS admite una variedad de dispositivos virtuales y de hardware para la autenticación MFA. El siguiente es un ejemplo de un dispositivo de MFA virtual habilitado a través de una aplicación de smartphone. Para obtener más información sobre las opciones del dispositivo MFA, consulte [Uso de la autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la *Guía del usuario de IAM*.

## Paso 1: creación de un rol de IAM para delegar el acceso a los usuarios de IAM
<a name="create-mfa-role"></a>

En el procedimiento siguiente, se describe cómo configurar la delegación de roles para asignar permisos a un usuario de IAM. Para obtener más información acerca de la delegación de roles de IAM, consulte el tema [Creación de un rol para delegar permisos a un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de AWS Identity and Access Management *.

1. [Vaya a la consola de IAM en https://console.aws.amazon.com /iam.](https://console.aws.amazon.com/iam)

1. En la barra de navegación, seleccione **Roles** y, a continuación, seleccione **Crear rol**.

1. En la página **Crear un rol**, seleccione **Otra cuenta de AWS **.

1. Escriba el **ID de cuenta** requerido y marque la casilla de verificación **Requerir MFA**. 
**nota**  
Para encontrar el número de cuenta de 12 cifras (ID), vaya a la barra de navegación en la consola y seleccione **Soporte** y, a continuación, elija **Centro de soporte**.

1. Elija **Siguiente: permisos**.

1. Adjunte las políticas existentes al rol o cree una nueva política para él. Las políticas que elija en esta página determinan a qué AWS servicios puede acceder el usuario de IAM con el kit de herramientas.

1. Tras adjuntar las políticas, seleccione **Siguiente: etiquetas** para tener la opción de añadir etiquetas de IAM a su rol. Elija **Siguiente: revisión** para continuar.

1. En la página de **revisión**, introduzca un **Nombre del rol** obligatorio (*toolkit-role*, por ejemplo). También puede añadir una descripción opcional en **Descripción del rol**. 

1. Elija **Crear rol**.

1. Cuando aparezca el mensaje de confirmación (por ejemplo, "Se ha creado el rol **toolkit-role**"), elija el nombre del rol en el mensaje.

1. En la página **Resumen**, seleccione el icono de copia para copiar el **ARN del rol** y pegarlo en un archivo. (Necesita este ARN al configurar el usuario de IAM para que asuma el rol).

## Paso 2: creación de un usuario de IAM que asuma los permisos del rol
<a name="create-mfa-user"></a>

Este paso crea un usuario de IAM sin permisos para poder añadir una política en línea.

1. [Vaya a la consola de IAM en /iam. https://console.aws.amazon.com](https://console.aws.amazon.com/iam)

1. En la barra de navegación, elija **Usuarios** y, a continuación, elija **Agregar usuario**.

1. En la página **Agregar usuario**, indique el **Nombre de usuario** necesario (*toolkit-user*, por ejemplo) y marque la casilla de verificación **Acceso mediante programación**.

1. Seleccione **Siguiente: permisos**, **Siguiente: etiquetas** y **Siguiente: revisar** para avanzar por las páginas siguientes. En este momento no va a añadir permisos porque el usuario va a asumir los permisos del rol.

1. En la página **Revisión**, se le informa de que **este usuario no tiene permisos**. Seleccione la opción **Crear un usuario**.

1. En la página **Correcto**, elija **Descargar .csv** para descargar el archivo que contiene el ID de clave de acceso y la clave de acceso secreta. (Necesitará ambos al definir el perfil del usuario en el archivo credentials).

1. Seleccione **Cerrar**.

## Paso 3: añadir una política que permita al usuario de IAM asumir el rol
<a name="add-mfa-policy"></a>

 El siguiente procedimiento crea una política insertada que permite al usuario asumir el rol (y los permisos de dicho rol).

1. En la página **Usuarios** de la consola de IAM, elija el usuario de IAM que acaba de crear (*toolkit-user*, por ejemplo).

1. En la pestaña **Permisos** de la página **Resumen**, seleccione **Añadir política insertada**. 

1. En la página **Crear política**, seleccione **Elegir un servicio**, escriba **STS** en **Buscar un servicio** y, a continuación, elija **STS** en los resultados. 

1. En **Acciones**, comience a escribir el término. *AssumeRole* Marque la **AssumeRole**casilla de verificación cuando aparezca. 

1. En la sección **Recurso**, asegúrese de que esté seleccionada la opción **Específico** y haga clic en **Agregar ARN** para restringir el acceso.

1. En el cuadro de diálogo **Agregar ARN**, en **Especificar ARN para el rol**, agregue el ARN del rol que creó en el Paso 1.

   Tras añadir el ARN del rol, la cuenta de confianza y el nombre del rol asociados a ese rol aparecen en **Cuenta** y **Nombre de rol con ruta**.

1. Elija **Agregar**.

1. De vuelta a la página **Crear política**, elija **Especificar las condiciones de la solicitud (opcional)**, marque la casilla de verificación **MFA requerida** y, a continuación, seleccione **Cerrar** para confirmar.

1. Elija **Revisar la política**

1. En la página **Revisar la política**, escriba un **nombre** para la política y después elija **Crear política**.

   La pestaña **Permisos** muestra la nueva política insertada adjuntada directamente al usuario de IAM.

## Paso 4: administración de un dispositivo de MFA virtual para el usuario de IAM
<a name="manage-virtual-mfa"></a>

1. Descargue e instale una aplicación de MFA virtual en su smartphone.

    Para obtener una lista de las aplicaciones compatibles, consulte la página de recursos sobre la [autenticación multifactor](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).

1. En la consola de IAM, elija **Usuarios** en la barra de navegación y, a continuación, elija el usuario que asumirá el rol (en este ejemplo, *toolkit-user*). 

1. En la página **Resumen**, elija la pestaña **Credenciales de seguridad** y, en **Dispositivo de MFA asignado**, elija **Administrar**.

1. En el panel **Administrar dispositivo de MFA**, elija **Dispositivo de MFA virtual** y, a continuación, elija **Continuar**.

1. En el panel **Configurar dispositivo de MFA virtual**, seleccione **Mostrar código QR** y escanee el código con la aplicación de MFA virtual que instaló en su smartphone.

1. Tras escanear el código QR, la aplicación de MFA virtual genera códigos MFA de un solo uso. Introduzca dos códigos de MFA consecutivos en **Código de MFA 1** y **Código de MFA 2**.

1. Elija **Asignar MFA**.

1. De vuelta a la pestaña **Credenciales de seguridad** del usuario, copie el ARN del nuevo **dispositivo de MFA asignado**.

   El ARN incluye su ID de cuenta de 12 dígitos y el formato es similar al siguiente: `arn:aws:iam::123456789012:mfa/toolkit-user`. Necesitará este ARN al definir el perfil de MFA en el siguiente paso.

## Paso 5: creación de perfiles para permitir el uso de MFA
<a name="mfa-profiles"></a>

El siguiente procedimiento crea los perfiles que permiten la MFA al acceder a AWS los servicios del Toolkit for Visual Studio.

Los perfiles que cree incluyen tres datos que ha copiado y almacenado durante los pasos anteriores:
+ Las claves de acceso (ID de clave de acceso y clave de acceso secreta) del usuario de IAM
+ El ARN del rol que delega los permisos al usuario de IAM 
+ El ARN del dispositivo de MFA virtual que está asignado al usuario de IAM 

En el archivo de credenciales AWS compartido o en la tienda de SDK que contiene sus AWS credenciales, añada las siguientes entradas:

```
[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user
```

En el ejemplo se definen dos perfiles:
+ El perfil de `[toolkit-user]` incluye la clave de acceso y la clave de acceso secreta que se generaron y guardaron al crear el usuario de IAM en el Paso 2.
+ El perfil de `[mfa]` define cómo se admite la autenticación multifactorial. Hay tres entradas:

  ◦ `source_profile`: especifica el perfil cuyas credenciales se utilizan para asumir el rol especificado por la configuración de `role_arn` en este perfil. En este caso, es perfil `toolkit-user`.

  ◦ `role_arn`: especifica el nombre de recurso de Amazon (ARN) del rol de IAM que desea utilizar para realizar las operaciones solicitadas mediante este perfil. En este caso, es el ARN del rol que creó en el Paso 1.

  ◦ `mfa_serial`: especifica la identificación o el número de serie del dispositivo de MFA que el usuario debe utilizar al asumir un rol. En este caso, es el ARN del dispositivo virtual que configuró en el Paso 3.