Assegnare un dispositivo MFA virtuale nella Console di gestione AWS - AWS Identity and Access Management
Autorizzazioni richiesteAbilitazione di un dispositivo MFA virtuale per un utente IAM (console)Sostituzione di un dispositivo MFA virtuale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegnare un dispositivo MFA virtuale nella Console di gestione AWS

Puoi utilizzare un telefono o un altro dispositivo come dispositivo di autenticazione a più fattori (MFA) virtuale. A tale scopo, installa un'app mobile conforme a RFC 6238, un algoritmo TOTP (password monouso temporanea) basato su standard. Queste app generano un codice di autenticazione a sei cifre. Poiché possono essere eseguite su dispositivi mobili non protetti, la MFA virtuale potrebbe non fornire lo stesso livello di sicurezza delle opzioni resistenti al phishing come chiavi di sicurezza e passkey. FIDO2

Se stai pensando di passare alle chiavi FIDO2 di sicurezza per l'MFA, ti consigliamo vivamente di continuare a utilizzare un dispositivo MFA virtuale mentre attendi l'approvazione dell'acquisto dell'hardware o l'arrivo dell'hardware.

La maggior parte delle app MFA virtuali supporta la creazione di più dispositivi virtuali, consentendoti di utilizzare la stessa app per più utenti Account AWS . Puoi registrare fino a otto dispositivi MFA di qualsiasi combinazione di tipi MFA con i tuoi Utente root dell'account AWS utenti e quelli di IAM. È necessario un solo dispositivo MFA per accedere Console di gestione AWS o creare una sessione tramite. AWS CLI Consigliamo di registrare più dispositivi MFA. Per le applicazioni di autenticazione, consigliamo inoltre di abilitare le funzionalità di backup o sincronizzazione su cloud per evitare di perdere l'accesso all'account in caso di smarrimento o guasto del dispositivo che dispone delle app di autenticazione.

AWS richiede un'app MFA virtuale che produca una OTP a sei cifre. Per un elenco delle app MFA virtuali che è possibile utilizzare, consulta Multi-Factor Authentication.

Autorizzazioni richieste

Per gestire i dispositivi MFA virtuali per l'utente IAM, è necessario disporre delle autorizzazioni dalla policy seguente: AWS: consente agli utenti IAM autenticati con MFA di gestire il proprio dispositivo MFA nella pagina Credenziali di sicurezza.

Abilitazione di un dispositivo MFA virtuale per un utente IAM (console)

Puoi utilizzare IAM Console di gestione AWS per abilitare e gestire un dispositivo MFA virtuale per un utente IAM nel tuo account. È possibile collegare tag alle risorse IAM, inclusi i dispositivi MFA virtuali, per identificare, organizzare e controllare l'accesso a tali risorse. È possibile etichettare i dispositivi MFA virtuali solo quando si utilizza l'API AWS CLI o AWS . Per abilitare e gestire un dispositivo MFA utilizzando l' AWS API AWS CLI or, vedere. Assegna dispositivi MFA nell' AWS CLI API o AWS Per ulteriori informazioni sul tagging delle risorse IAM, consulta Tag per AWS Identity and Access Management le risorse.

Nota

È necessario avere l'accesso fisico all'hardware che ospiterà il dispositivo MFA virtuale dell'utente per configurare MFA. Ad esempio, è possibile configurare MFA per un utente che utilizzerà un dispositivo MFA virtuale in esecuzione su uno smartphone. In questo caso, è necessario disporre di uno smartphone per completare la procedura guidata. Per questo motivo, è possibile consentire agli utenti di configurare e gestire i propri dispositivi MFA virtuali. In questo caso è necessario concedere agli utenti le autorizzazioni per eseguire le necessarie operazioni IAM. Per ulteriori informazioni e per un esempio di una policy IAM che concede queste autorizzazioni, consulta Tutorial IAM: consentire agli utenti di gestire le proprie credenziali e impostazioni MFA e la policy di esempio AWS: consente agli utenti IAM autenticati con MFA di gestire il proprio dispositivo MFA nella pagina Credenziali di sicurezza.

Come abilitare un dispositivo MFA virtuale per un utente IAM (console)

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Utenti.

  3. Nell'elenco degli Utenti, seleziona il nome dell'utente IAM.

  4. Seleziona la scheda Credenziali di sicurezza. Nella sezione Autenticazione a più fattori (MFA), scegliere Assegna dispositivo MFA.

  5. Nella procedura guidata, digita un nome per il dispositivo, scegli l'app Authenticator e quindi scegli Next (Avanti).

    IAM genera e visualizza le informazioni di configurazione per il dispositivo MFA virtuale, tra cui il codice grafico QR. Il grafico è una rappresentazione della "chiave di configurazione segreta" disponibile per l'inserimento manuale sui dispositivi che non supportano i codici QR.

  6. Aprire l'app MFA virtuale. Per un elenco delle app che è possibile utilizzare per ospitare i dispositivi MFA virtuali, consultare la pagina Autenticazione a più fattori.

    Se l'app MFA virtuale supporta più account o dispositivi MFA virtuali, selezionare l'opzione che consente di creare un nuovo account o dispositivo MFA virtuale.

  7. Determinare se l'app MFA supporta i codici QR e procedere in uno dei seguenti modi:

    • Nella procedura guidata, scegliere Mostra codice QR ed eseguire la scansione del codice QR tramite l'app. Potrebbe trattarsi dell'icona della fotocamera o dell'opzione Scannerizza codice che utilizza la fotocamera del dispositivo per eseguire la scansione del codice.

    • Nella procedura guidata, scegli Show secret key (Mostra chiave segreta) e digitare la chiave segreta nell'app MFA.

    Al termine, il dispositivo MFA virtuale avvia la generazione di password una tantum.

  8. Nella pagina Set up device (Configura il dispositivo), nella casella MFA code 1 (Codice MFA 1), digita la password monouso correntemente visualizzata nel dispositivo MFA virtuale. Attendere fino a un massimo di 30 secondi prima che il dispositivo generi una nuova password una tantum. Quindi, digitare la seconda password monouso nella casella Codice MFA 2. Scegli Aggiungi MFA.

    Importante

    Inviare la richiesta immediatamente dopo la generazione dei codici. Se si generano i codici e si attende troppo a lungo per inviare la richiesta, il dispositivo MFA si associa correttamente con l'utente ma il dispositivo MFA non viene sincronizzato. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.

Il dispositivo MFA virtuale è ora pronto per l'uso con. AWS Per informazioni sull'utilizzo della tecnologia MFA con Console di gestione AWS, vedere. Accesso abilitato con MFA

Nota

I dispositivi MFA virtuali non assegnati nel Account AWS tuo vengono eliminati quando aggiungi nuovi dispositivi MFA virtuali tramite o durante Console di gestione AWS la procedura di accesso. I dispositivi MFA virtuali non assegnati sono dispositivi presenti nell’account ma non utilizzati dall’utente root dell’account o dagli utenti IAM per il processo di accesso. Vengono eliminati in modo da poter aggiungere nuovi dispositivi MFA virtuali al tuo account. Questo consente anche di riutilizzare i nomi dei dispositivi.

  • Per visualizzare i dispositivi MFA virtuali non assegnati nel tuo account, puoi utilizzare list-virtual-mfa-devices AWS CLI il comando o la chiamata API.

  • Per disattivare un dispositivo MFA virtuale, puoi utilizzare deactivate-mfa-device AWS CLI il comando o la chiamata API. Verrà annullata l’assegnazione del dispositivo.

  • Per collegare un dispositivo MFA virtuale non assegnato all' Account AWS utente root o agli utenti IAM, è necessario il codice di autenticazione generato dal dispositivo insieme al comando o enable-mfa-deviceAWS CLIalla chiamata API.

Sostituzione di un dispositivo MFA virtuale

Tu Utente root dell'account AWS e gli utenti IAM potete registrare fino a otto dispositivi MFA di qualsiasi combinazione di tipi di MFA. Se l'utente dovesse perdere il proprio dispositivo o in caso di sostituzione, dovrai disattivare il vecchio dispositivo. e quindi aggiungere quello nuovo.