Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Assegnare un dispositivo MFA virtuale nella Console di gestione AWS
Puoi utilizzare un telefono o un altro dispositivo come dispositivo di autenticazione a più fattori (MFA) virtuale. A tale scopo, installa un'app mobile conforme a RFC 6238, un algoritmo TOTP (password monouso temporanea) basato su standard
Se stai pensando di passare alle chiavi di sicurezza FIDO2 per MFA, ti consigliamo vivamente di continuare a utilizzare un dispositivo MFA virtuale mentre aspetti l'approvazione dell'acquisto o l'arrivo dell'hardware.
La maggior parte delle applicazioni MFA virtuali supportano la creazione di più dispositivi virtuali, che consente di utilizzare la stessa app per più account o utenti Account AWS. Puoi registrare fino a otto dispositivi MFA in qualsiasi combinazione dei tipi di MFA
Bisogna ricordarsi che AWS richiede un'applicazione MFA virtuale che genera un OTP a sei cifre. Per un elenco delle app MFA virtuali che è possibile utilizzare, consulta Multi-Factor Authentication
Argomenti
Autorizzazioni richieste
Per gestire i dispositivi MFA virtuali per l'utente IAM, è necessario disporre delle autorizzazioni dalla policy seguente: AWS: consente agli utenti IAM autenticati con MFA di gestire il proprio dispositivo MFA nella pagina Credenziali di sicurezza.
Abilitazione di un dispositivo MFA virtuale per un utente IAM (console)
Puoi utilizzare IAM nella Console di gestione AWS per abilitare e gestire un dispositivo MFA virtuale per un utente IAM nel tuo account. È possibile collegare tag alle risorse IAM, inclusi i dispositivi MFA virtuali, per identificare, organizzare e controllare l'accesso a tali risorse. È possibile contrassegnare i dispositivi MFA virtuali solo quando si utilizza l'API AWS CLI o AWS. Per abilitare e gestire un dispositivo MFA tramite l'AWS CLI o l'API AWS, consulta Assegna dispositivi MFA nella AWS CLI o nell'API AWS. Per ulteriori informazioni sul tagging delle risorse IAM, consulta Tag per risorse AWS Identity and Access Management.
Nota
È necessario avere l'accesso fisico all'hardware che ospiterà il dispositivo MFA virtuale dell'utente per configurare MFA. Ad esempio, è possibile configurare MFA per un utente che utilizzerà un dispositivo MFA virtuale in esecuzione su uno smartphone. In questo caso, è necessario disporre di uno smartphone per completare la procedura guidata. Per questo motivo, è possibile consentire agli utenti di configurare e gestire i propri dispositivi MFA virtuali. In questo caso è necessario concedere agli utenti le autorizzazioni per eseguire le necessarie operazioni IAM. Per ulteriori informazioni e per un esempio di una policy IAM che concede queste autorizzazioni, consulta Tutorial IAM: consentire agli utenti di gestire le proprie credenziali e impostazioni MFA e la policy di esempio AWS: consente agli utenti IAM autenticati con MFA di gestire il proprio dispositivo MFA nella pagina Credenziali di sicurezza.
Come abilitare un dispositivo MFA virtuale per un utente IAM (console)
Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, seleziona Utenti.
-
Nell'elenco degli Utenti, seleziona il nome dell'utente IAM.
-
Seleziona la scheda Credenziali di sicurezza. Nella sezione Autenticazione a più fattori (MFA), scegliere Assegna dispositivo MFA.
-
Nella procedura guidata, digita un nome per il dispositivo, scegli l'app Authenticator e quindi scegli Next (Avanti).
IAM genera e visualizza le informazioni di configurazione per il dispositivo MFA virtuale, tra cui il codice grafico QR. Il grafico è una rappresentazione della "chiave di configurazione segreta" disponibile per l'inserimento manuale sui dispositivi che non supportano i codici QR.
-
Aprire l'app MFA virtuale. Per un elenco delle app che è possibile utilizzare per ospitare i dispositivi MFA virtuali, consultare la pagina Autenticazione a più fattori
. Se l'app MFA virtuale supporta più account o dispositivi MFA virtuali, selezionare l'opzione che consente di creare un nuovo account o dispositivo MFA virtuale.
-
Determinare se l'app MFA supporta i codici QR e procedere in uno dei seguenti modi:
-
Nella procedura guidata, scegliere Mostra codice QR ed eseguire la scansione del codice QR tramite l'app. Potrebbe trattarsi dell'icona della fotocamera o dell'opzione Scannerizza codice che utilizza la fotocamera del dispositivo per eseguire la scansione del codice.
-
Nella procedura guidata, scegli Show secret key (Mostra chiave segreta) e digitare la chiave segreta nell'app MFA.
Al termine, il dispositivo MFA virtuale avvia la generazione di password una tantum.
-
-
Nella pagina Set up device (Configura il dispositivo), nella casella MFA code 1 (Codice MFA 1), digita la password monouso correntemente visualizzata nel dispositivo MFA virtuale. Attendere fino a un massimo di 30 secondi prima che il dispositivo generi una nuova password una tantum. Quindi, digitare la seconda password monouso nella casella Codice MFA 2. Scegli Aggiungi MFA.
Importante
Inviare la richiesta immediatamente dopo la generazione dei codici. Se si generano i codici e si attende troppo a lungo per inviare la richiesta, il dispositivo MFA si associa correttamente con l'utente ma il dispositivo MFA non viene sincronizzato. Ciò accade perché le password monouso temporanee (TOTP) scadono dopo un breve periodo di tempo. Se ciò accade, è possibile sincronizzare nuovamente il dispositivo.
Il dispositivo MFA virtuale ora è pronto per l'uso con AWS. Per ulteriori informazioni sull'utilizzo di MFA con la Console di gestione AWS, consulta Accesso abilitato con MFA.
Nota
I dispositivi MFA virtuali non assegnati nel tuo Account AWS vengono eliminati quando aggiungi nuovi dispositivi MFA virtuali tramite la Console di gestione AWS o durante la procedura di accesso. I dispositivi MFA virtuali non assegnati sono dispositivi presenti nell'account ma non utilizzati dall'utente root dell'account o dagli utenti IAM per il processo di accesso. Vengono eliminati in modo da poter aggiungere nuovi dispositivi MFA virtuali al tuo account. Questo consente anche di riutilizzare i nomi dei dispositivi.
-
Per visualizzare i dispositivi MFA virtuali non assegnati nel tuo account, puoi utilizzare la chiamata API o il comando della AWS CLI list-virtual-mfa-devices
. -
Per disattivare un dispositivo MFA virtuale, puoi utilizzare la chiamata API o il comando della AWS CLI deactivate-mfa-device
. Verrà annullata l'assegnazione del dispositivo. -
Per collegare un dispositivo MFA virtuale non assegnato all'utente root dell'Account AWS o agli utenti IAM, avrai bisogno del codice di autenticazione generato dal dispositivo insieme alla chiamata API o al comando della AWS CLI enable-mfa-device
.
Sostituzione di un dispositivo MFA virtuale
Il tuo Utente root dell'account AWS e gli utenti IAM possono registrare fino a otto dispositivi MFA di qualsiasi tipo. Se l'utente dovesse perdere il proprio dispositivo o in caso di sostituzione, dovrai disattivare il vecchio dispositivo. e quindi aggiungere quello nuovo.
-
Per disattivare il dispositivo correntemente associato a un altro utente IAM, consulta Disattivare un dispositivo MFA.
-
Per aggiungere un dispositivo MFA virtuale sostitutivo per un altro utente IAM, segui la procedura Abilitazione di un dispositivo MFA virtuale per un utente IAM (console) descritta sopra.
-
Per aggiungere un dispositivo MFA virtuale sostitutivo per l'Utente root dell'account AWS, completa i passaggi della procedura Abilitare un dispositivo MFA virtuale per l'utente root (console).
