Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Authentification multifactorielle pour Utilisateur racine d'un compte AWS
**Important**
AWS vous recommande d'utiliser une clé d'accès ou une clé de sécurité pour les MFA, dans la AWS mesure du possible, car ils sont plus résistants aux attaques telles que le phishing. Pour de plus amples informations, veuillez consulter [Clés d’accès et clés de sécurité](#passkeys-security-keys-for-root).
L’authentification multifactorielle (MFA) est un mécanisme simple et efficace pour renforcer votre sécurité. Le premier facteur, votre mot de passe, est un secret que vous mémorisez, également appelé facteur de connaissance. Les autres facteurs peuvent être des facteurs liés à la possession (quelque chose que vous possédez, comme une clé de sécurité) ou des facteurs inhérents (quelque chose que vous êtes, comme un scan biométrique). Pour une sécurité accrue, nous vous recommandons vivement de configurer l'authentification multifactorielle (MFA) afin de protéger AWS vos ressources.
**Note**
Tous les Compte AWS types (comptes autonomes, de gestion et comptes membres) nécessitent que l'authentification MFA soit configurée pour leur utilisateur root. Les utilisateurs doivent enregistrer le MFA dans les 35 jours suivant leur première tentative de connexion pour accéder au si le AWS Management Console MFA n'est pas déjà activé.
Vous pouvez activer le MFA pour les utilisateurs Utilisateur racine d'un compte AWS et IAM. Lorsque vous activez la MFA pour l’utilisateur racine, cela n’affecte que les informations d’identification de l’utilisateur racine. Pour en savoir plus sur l’activation de la MFA pour les utilisateurs IAM, consultez [AWS Authentification multifactorielle dans IAM](id_credentials_mfa.md).
**Note**
Comptes AWS L'utilisation gérée AWS Organizations peut avoir la possibilité de [gérer de manière centralisée l'accès root aux](id_root-user.md#id_root-user-access-management) comptes des membres afin d'empêcher la récupération des informations d'identification et l'accès à grande échelle. Si cette option est activée, vous pouvez supprimer les informations d’identification de l’utilisateur racine des comptes membres, y compris les mots de passe et l’authentification multifactorielle (MFA), empêchant ainsi efficacement la connexion en tant qu’utilisateur racine, la récupération du mot de passe ou la configuration de la MFA. Si vous préférez conserver les méthodes de connexion par mot de passe, sécurisez votre compte en enregistrant l’authentification multifactorielle (MFA) afin de renforcer la protection de votre compte.
Avant d’activer la MFA pour votre utilisateur racine, vérifiez et [mettez à jour les paramètres de votre compte et les informations de contact](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) pour vous assurer que vous avez accès à l’adresse e-mail et au numéro de téléphone. Si votre dispositif MFA est perdu, volé ou ne fonctionne pas, vous pouvez toujours vous connecter en tant qu'utilisateur racine en vérifiant votre identité à l'aide de cet e-mail et de ce numéro de téléphone. Pour en savoir plus sur la connexion à l'aide d'autres facteurs d'authentification, consultez [Restauration d’une identité protégée par MFA dans IAM](id_credentials_mfa_lost-or-broken.md). Pour désactiver cette fonction, contactez [AWS Support](https://console.aws.amazon.com/support/home#/).
AWS prend en charge les types de MFA suivants pour votre utilisateur root :
+ [Clés d’accès et clés de sécurité](#passkeys-security-keys-for-root)
+ [Applications d’authentification virtuelle](#virtual-auth-apps-for-root)
+ [Jetons TOTP matériels](#hardware-totp-token-for-root)
## Clés d’accès et clés de sécurité
Gestion des identités et des accès AWS prend en charge les clés d'accès et les clés de sécurité pour la MFA. Basées sur les normes FIDO, les clés d'accès utilisent la cryptographie à clé publique pour fournir une authentification solide, résistante au hameçonnage et plus sécurisée que les mots de passe. AWS prend en charge deux types de clés d'accès : les clés d'accès liées à l'appareil (clés de sécurité) et les clés d'accès synchronisées.
+ **Clés de sécurité** : il s'agit de périphériques physiques YubiKey, tels que a, utilisés comme deuxième facteur d'authentification. Une clé de sécurité unique peut prendre en charge plusieurs comptes utilisateur racine et utilisateurs IAM.
+ **Clés d’accès synchronisées** : elles utilisent des gestionnaires d’informations d’identification provenant de fournisseurs tels que Google, Apple, Microsoft et de services tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur.
Vous pouvez utiliser des authentificateurs biométriques intégrés, tels que Touch ID sur Apple MacBooks, pour déverrouiller votre gestionnaire d'identifiants et vous y connecter. AWS Les clés d’accès sont créées avec le fournisseur de votre choix à l’aide de votre empreinte digitale, de votre visage ou du code PIN de votre appareil. Vous pouvez utiliser une clé d’accès d’authentification entre appareils (CDA) provenant d’un appareil, comme un appareil mobile ou une clé de sécurité matérielle, pour vous connecter sur un autre appareil, tel qu’un ordinateur portable. Pour plus d’informations, consultez [Authentification entre appareils](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).
Vous pouvez synchroniser les clés d'accès sur tous vos appareils pour faciliter les connexions et améliorer la convivialité AWS et la récupérabilité. Pour plus d’informations sur l’activation des clés d’accès et des clés de sécurité, consultez [Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console)](enable-fido-mfa-for-root.md).
La FIDO Alliance tient à jour une liste de tous les [produits certifiés FIDO](https://fidoalliance.org/certification/fido-certified-products/) qui sont compatibles avec les spécifications FIDO.
## Applications d’authentification virtuelle
Une application d’authentification virtuelle s’exécute sur un téléphone ou un autre dispositif et émule un dispositif physique. Les applications d'authentification virtuelle mettent en œuvre l'algorithme TOTP ([mot de passe unique à durée limitée](https://datatracker.ietf.org/doc/html/rfc6238)) et prennent en charge plusieurs jetons sur un seul dispositif. L’utilisateur doit saisir un code valide à partir du dispositif lorsqu’il y est invité lors de la connexion. Chaque jeton attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code provenant du jeton d’un autre utilisateur pour s’authentifier.
Nous vous recommandons d'utiliser un dispositif MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou pendant que vous attendez de recevoir votre matériel. Pour obtenir une liste des applications que vous pouvez utiliser comme dispositifs MFA virtuels, consultez [Authentification multifactorielle (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Pour obtenir des instructions sur la configuration d'un périphérique MFA virtuel avec AWS, voir. [Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console)](enable-virt-mfa-for-root.md)
## Jetons TOTP matériels
Un dispositif matériel qui génère un code numérique à six chiffres basé sur l’[algorithme TOTP (mot de passe unique à durée limitée)](https://datatracker.ietf.org/doc/html/rfc6238). L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion. Chaque dispositif MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d’informations sur les dispositifs MFA matériels pris en charge, consultez [Authentification multifactorielle (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Pour plus d'informations sur la configuration d'un jeton TOTP matériel avec AWS, consultez [Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)](enable-hw-mfa-for-root.md).
Si vous souhaitez utiliser un dispositif MFA physique, nous vous recommandons d’utiliser les clés de sécurité FIDO comme alternative aux périphériques TOTP matériels. Les clés de sécurité FIDO offrent les avantages de ne pas nécessiter de batterie, de résister au hameçonnage et de prendre en charge plusieurs utilisateurs racine et utilisateurs IAM sur un seul appareil pour une sécurité renforcée.
**Topics**
+ [Clés d’accès et clés de sécurité](#passkeys-security-keys-for-root)
+ [Applications d’authentification virtuelle](#virtual-auth-apps-for-root)
+ [Jetons TOTP matériels](#hardware-totp-token-for-root)
+ [Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console)](enable-fido-mfa-for-root.md)
+ [Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console)](enable-virt-mfa-for-root.md)
+ [Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)](enable-hw-mfa-for-root.md)
# Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console)
Vous pouvez configurer et activer une clé d'accès pour votre utilisateur root AWS Management Console uniquement, et non depuis l' AWS API AWS CLI or.
**Pour activer une clé d’accès ou une clé de sécurité pour l’utilisateur racine (console)**
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur **Security credentials** (Informations d'identification de sécurité).
![\[Informations d'identification de sécurité dans le menu de navigation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Sur la page **Mes informations d’identification de sécurité** de votre utilisateur racine, sous **Authentification multifactorielle (MFA)**, choisissez **Attribuer un dispositif MFA**.
1. Sur la page **Nom du dispositif MFA**, saisissez un **Nom du dispositif**, choisissez **Clé d’accès ou Clé de sécurité**, puis choisissez **Suivant**.
1. Dans **Configurer le dispositif**, configurez votre clé d’accès. Créez une clé d’accès avec des données biométriques telles que votre visage ou votre empreinte digitale, avec le code PIN d’un appareil, ou en insérant la clé de sécurité FIDO dans le port USB de votre ordinateur et en la touchant.
1. Suivez les instructions de votre navigateur pour choisir un fournisseur de clé d’accès ou l’endroit où vous souhaitez stocker votre clé d’accès afin de l’utiliser sur tous vos dispositifs.
1. Sélectionnez **Continuer**.
Vous avez maintenant enregistré votre clé d'accès pour l'utiliser avec AWS. La prochaine fois que vous utiliserez vos informations d’identification d’utilisateur racine pour vous connecter, vous devrez vous authentifier à l’aide de votre clé d’accès pour terminer le processus de connexion.
Pour obtenir de l’aide afin de résoudre les problèmes liés à votre clé de sécurité FIDO, consultez [Résolution des problèmes liés aux clés d’accès et aux clés de sécurité FIDO](troubleshoot_mfa-fido.md).
# Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console)
Vous pouvez utiliser le AWS Management Console pour configurer et activer un périphérique MFA virtuel pour votre utilisateur root. Pour activer les appareils MFA pour le Compte AWS, vous devez être connecté à l' AWS aide de vos informations d'identification d'utilisateur root.
**Pour configurer et activer un dispositif MFA virtuel à utiliser avec votre utilisateur racine (console)**
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur **Security credentials** (Informations d'identification de sécurité).
![\[Informations d'identification de sécurité dans le menu de navigation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Dans la section **Multi-Factor Authentication (MFA)** (Authentification multifactorielle (MFA)), sélectionnez **Assign MFA device** (Attribuer un dispositif MFA).
1. Dans l'assistant, saisissez un nom dans le champ **Nom du dispositif**, sélectionnez **Application Authenticator**, puis cliquez sur **Suivant**.
IAM génère et affiche les informations de configuration du dispositif MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des dispositifs qui ne prennent pas en charge les codes QR.
1. Ouvrez l'application MFA virtuelle sur l'appareil.
Si l'application MFA virtuelle prend en charge plusieurs comptes ou plusieurs dispositifs MFA virtuels, choisissez l'option permettant de créer un compte ou un dispositif MFA virtuel.
1. La manière la plus simple de configurer l'application consiste à utiliser l'application pour analyser le code QR. Si vous ne pouvez pas analyser le code, vous pouvez saisir les informations de configuration manuellement. Le code QR et la clé de configuration secrète générés par IAM sont liés à votre compte Compte AWS et ne peuvent pas être utilisés avec un autre compte. En revanche, ils peuvent être réutilisés pour configurer un nouveau dispositif MFA pour votre compte si vous perdez l'accès au dispositif MFA d'origine.
+ Pour utiliser le code QR pour configurer le dispositif MFA virtuel, dans l'assistant, choisissez **Show QR code (Afficher le code QR)**. Ensuite, suivez les instructions de l'application pour scanner le code. Par exemple, vous pouvez avoir besoin de choisir l'icône de caméra ou une commande similaire à **Scan account barcode (Analyser le code-barres du compte)**, puis d'utiliser la caméra du périphérique pour analyser le code QR.
+ Dans l'assistant **Set up device** (Configurer le dispositif), sélectionnez **Show secret key** (Afficher la clé secrète), puis saisissez la clé secrète dans votre application MFA.
**Important**
Faites une sauvegarde sécurisée du code QR ou de la clé de configuration secrète ou assurez-vous d'activer plusieurs dispositifs MFA pour votre compte. Vous pouvez enregistrer jusqu'à **huit** appareils MFA de n'importe quelle combinaison des [types de MFA actuellement pris en charge auprès de vos Utilisateur racine d'un compte AWS utilisateurs et de ceux](https://aws.amazon.com/iam/features/mfa/) d'IAM. Un dispositif MFA virtuel peut devenir indisponible, par exemple, si vous perdez le smartphone hébergeant le dispositif MFA virtuel. Si cela se produit et que vous ne parvenez pas à vous connecter à votre compte sans autre dispositif MFA associé à l'utilisateur ou même d'après [Récupération d'un dispositif MFA d'utilisateur racine](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), vous ne pourrez pas vous connecter à votre compte et vous devrez [contacter le service client](https://support.aws.amazon.com/#/contacts/aws-mfa-support) pour supprimer la protection MFA du compte.
Le périphérique commence à générer des numéros à six chiffres.
1. Dans l'assistant, dans la zone **MFA Code 1** (Code MFA 1), saisissez le mot de passe unique qui s'affiche actuellement sur le dispositif MFA virtuel. Attendez jusqu'à 30 secondes pour que le dispositif génère un nouveau mot de passe unique. Saisissez ensuite le second mot de passe unique dans la zone **MFA Code 2 (Code MFA 2)**. Choisissez **Add MFA** (Ajouter un dispositif MFA).
**Important**
Envoyez votre demande immédiatement après avoir généré le code. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le dispositif MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez [resynchroniser le dispositif](id_credentials_mfa_sync.md).
L'appareil est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'interface AWS Management Console, veuillez consulter [Connexion compatible avec la MFA](console_sign-in-mfa.md).
# Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)
Vous pouvez configurer et activer un dispositif MFA physique pour votre utilisateur root AWS Management Console uniquement, et non à partir de l'API AWS CLI or AWS .
**Note**
Il se peut que vous remarquiez des textes différents, tels que **se connecter à l'aide de MFA** et **dépanner votre dispositif d'authentification**. Toutefois, les mêmes fonctions sont fournies. Dans les deux cas, si vous ne pouvez pas vérifier l’adresse e-mail et le numéro de téléphone de votre compte en utilisant d’autres facteurs d’authentification, contactez [AWS Support](https://aws.amazon.com/forms/aws-mfa-support) pour supprimer votre configuration de MFA.
**Pour activer un jeton TOTP matériel pour votre propre utilisateur racine (console)**
1. Ouvrez la [console de gestion AWS](https://console.aws.amazon.com/) et connectez-vous à l’aide de vos informations d’identification d’utilisateur racine.
Pour obtenir des instructions, voir [Se connecter en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) dans le *guide de Connexion à AWS l'utilisateur*.
1. À droite de la barre de navigation, choisissez le nom de votre compte, et cliquez sur **Security credentials** (Informations d'identification de sécurité).
![\[Informations d'identification de sécurité dans le menu de navigation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Développez la section **Multi-factor authentication (MFA) (authentification multifactorielle (MFA))**.
1. Choisissez **Assign MFA device** (Attribuer un dispositif MFA).
1. Dans l'assistant, tapez le **nom du dispositif**, choisissez **Hardware TOTP token** (Jeton TOTP matériel), puis **Next** (Suivant).
1. Dans la zone **Numéro de série**, saisissez le numéro de série qui se trouve à l'arrière du dispositif MFA.
1. Dans la zone **MFA code 1**, saisissez le code à six chiffres qui s'affichent sur le dispositif MFA. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.
![\[Tableau de bord IAM, dispositif MFA\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/MFADevice.png)
1. Attendez 30 secondes que le périphérique actualise le code, puis saisissez la nouvelle série de six chiffres dans la zone **MFA code 2**. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.
1. Choisissez **Add MFA** (Ajouter un dispositif MFA). Le dispositif MFA est à présent associé au Compte AWS.
**Important**
Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez [resynchroniser le dispositif](id_credentials_mfa_sync.md).
La prochaine fois que vous utiliserez les informations d'identification d'utilisateur racine, vous devrez saisir un code du dispositif MFA.