Attribution d’un dispositif MFA virtuel dans l’AWS Management Console - AWS Identity and Access Management
Autorisations nécessairesActivation d'un dispositif MFA virtuel pour un utilisateur IAM (Console)Remplacer un périphérique MFA virtuel

Attribution d’un dispositif MFA virtuel dans l’AWS Management Console

Vous pouvez utiliser un téléphone ou un autre appareil comme appareil d'authentification multifacteur (MFA) virtuel. Pour ce faire, installez une application mobile conforme à RFC 6238, un algorithme TOTP (mot de passe unique basé sur le temps) basé sur des normes. Ces applications génèrent un code d'authentification à six chiffres. Parce qu’elle peut fonctionner sur des appareils mobiles non sécurisés, la MFA virtuelle peut ne pas offrir le même niveau de sécurité que les options résistantes au hameçonnage, telles que les clés de sécurité FIDO2 et les clés d’accès.

Si vous envisagez de passer aux clés de sécurité FIDO2 pour la MFA, nous vous recommandons vivement de continuer à utiliser un dispositif MFA virtuel en attendant l’approbation de l’achat de matériel ou la réception de votre matériel.

La plupart des applications MFA virtuelles prennent en charge la création de plusieurs dispositifs virtuels, ce qui vous permet d'utiliser la même application pour plusieurs Comptes AWS ou utilisateurs. Vous pouvez enregistrer jusqu’à huit dispositifs MFA de n’importe quelle combinaison des types MFA actuellement pris en charge auprès de votre Utilisateur racine d'un compte AWS et des utilisateurs IAM. Vous n’avez besoin que d’un seul dispositif MFA pour vous connecter à l’AWS Management Console ou créer une session via l’AWS CLI. Nous vous recommandons d'enregistrer plusieurs appareils MFA. Pour les applications d’authentification, nous recommandons également d’activer la fonctionnalité de sauvegarde ou de synchronisation dans le cloud afin d’éviter de perdre l’accès à votre compte en cas de perte ou de casse de votre dispositif.

AWS nécessite une application MFA virtuelle générant un code OTP à six chiffres. Pour obtenir la liste des applications MFA virtuelles que vous pouvez utiliser, consultez authentification multifacteur.

Autorisations nécessaires

Pour gérer des dispositifs MFA virtuels pour votre utilisateur IAM, vous devez disposer des autorisations de la politique suivante : AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leur dispositif MFA sur la page Informations d’identification de sécurité.

Activation d'un dispositif MFA virtuel pour un utilisateur IAM (Console)

Vous pouvez utiliser IAM dans AWS Management Console pour activer et gérer un dispositif MFA virtuel pour un utilisateur IAM de votre compte. Vous pouvez attacher des balises à vos ressources IAM, y compris les appareils MFA virtuels, pour les identifier, les organiser et contrôler l'accès. Vous pouvez baliser des appareils MFA virtuels uniquement lorsque vous utilisez l'API AWS CLI ou AWS. Pour activer et gérer un dispositif MFA à l'aide de l’interface AWS CLI ou de l'API AWS, consultez Attribution des appareils MFA dans l’AWS CLI ou l’API AWS. Pour plus d'informations sur le balisage des ressources IAM, consultez Balises pour les ressources AWS Identity and Access Management.

Note

Pour configurer l'authentification MFA, vous devez avoir accès physique au matériel sur lequel le dispositif MFA virtuel de l'utilisateur est hébergé. Par exemple, vous pouvez configurer le MFA pour un utilisateur qui utilisera un dispositif MFA virtuel s'exécutant sur un smartphone. Dans ce cas, vous devez avoir le smartphone à proximité afin de finaliser l'assistant. De ce fait, vous pouvez préférer laisser les utilisateurs configurer et gérer leurs propres dispositifs MFA virtuels. Dans ce cas, vous devez accorder aux utilisateurs l'autorisation d'exécuter les actions IAM nécessaires. Pour en savoir plus sur la politique IAM qui accorde ces autorisations et pour accéder à un exemple, veuillez consulter la rubrique Didacticiel IAM : permettre aux utilisateurs de gérer leurs informations d'identification et leurs paramètres MFA et la politique d'exemple AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leur dispositif MFA sur la page Informations d’identification de sécurité.

Pour activer un dispositif MFA virtuel pour un utilisateur IAM (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Dans la liste des Users (Utilisateurs), choisissez le nom d'utilisateur IAM.

  4. Choisissez l'onglet Informations d'identification de sécurité. Dans la section Multi-Factor Authentication (MFA) (Authentification multifactorielle (MFA)), sélectionnez Assign MFA device (Attribuer un dispositif MFA).

  5. Dans l'assistant, saisissez un nom dans le champ Nom du dispositif, sélectionnez Application Authenticator, puis cliquez sur Suivant.

    IAM génère et affiche les informations de configuration du dispositif MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre application MFA virtuelle. Pour obtenir une liste des applications que vous pouvez utiliser pour héberger des dispositifs MFA virtuels, consultez authentification multifacteur.

    Si l'application MFA virtuelle prend en charge plusieurs comptes ou plusieurs dispositifs MFA virtuels, choisissez l'option permettant de créer un compte ou un dispositif MFA virtuel.

  7. Déterminez si l'application MFA prend en charge les codes QR, puis effectuez l'une des actions suivantes :

    • Dans l'assistant, choisissez Show QR code (Afficher le code QR), puis utiliser l'application pour analyser le code QR. Il peut s’agir d’une icône de caméra ou d’une option Scanner le code qui utilise la caméra de l’appareil pour analyser le code.

    • Dans l'assistant, sélectionnez Show secret key (Afficher la clé secrète), puis saisissez la clé secrète dans votre application MFA.

    Une fois que vous avez terminé, le dispositif MFA virtuel commence à générer des mots de passe uniques.

  8. Sur la page Configurer l'appareil, accédez à la zone Code MFA 1 et saisissez le mot de passe à usage unique affiché sur le dispositif MFA virtuel. Attendez jusqu'à 30 secondes pour que le dispositif génère un nouveau mot de passe unique. Saisissez ensuite le second mot de passe unique dans la zone MFA Code 2 (Code MFA 2). Choisissez Add MFA (Ajouter un dispositif MFA).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le dispositif MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le dispositif.

Le dispositif MFA virtuel est maintenant prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l’interface AWS Management Console, consultez Connexion compatible avec la MFA.

Note

Les dispositifs MFA virtuels non attribués dans votre Compte AWS sont supprimés lorsque vous ajoutez de nouveaux appareils MFA virtuels via l’AWS Management Console ou pendant le processus de connexion. Les dispositifs MFA virtuels non attribués sont des dispositifs présents dans votre compte, mais qui ne sont pas utilisés par l’utilisateur racine du compte ou les utilisateurs IAM pour le processus de connexion. Ils sont supprimés afin que de nouveaux dispositifs MFA virtuels puissent être ajoutés à votre compte. Cela vous permet également de réutiliser les noms des appareils.

  • Pour afficher les dispositifs MFA virtuels non attribués dans votre compte, vous pouvez utiliser la commande AWS CLI list-virtual-mfa-devices ou un appel d’API.

  • Pour désactiver un dispositif MFA virtuel, vous pouvez utiliser la commande AWS CLI deactivate-mfa-device ou un appel d’API. Le dispositif ne sera plus attribué.

  • Pour associer un dispositif MFA virtuel non attribué à l’utilisateur racine de votre Compte AWS ou à vos utilisateurs IAM, vous aurez besoin du code d’authentification généré par le dispositif, ainsi que de la commande AWS CLI enable-mfa-device ou d’un appel d’API.

Remplacer un périphérique MFA virtuel

Votre Utilisateur racine d'un compte AWS et vos utilisateurs IAM peuvent enregistrer jusqu’à huit dispositifs MFA de n’importe quelle combinaison de types MFA. Si l’utilisateur perd un dispositif ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l’ancien dispositif. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.