# Atribuir um token de hardware TOTP ao Console de gerenciamento da AWS
<a name="id_credentials_mfa_enable_physical"></a>

**Importante**  
A AWS recomenda usar uma chave de acesso ou chave de segurança para MFA na AWS sempre que possível. Para obter mais informações, consulte [Atribuir uma chave de acesso ou uma chave de segurança ao Console de gerenciamento da AWS](id_credentials_mfa_enable_fido.md).

Um token de hardware TOTP gera um código numérico de seis dígitos com base no algoritmo de senha de uso único com marcação temporal (TOTP). O usuário deve digitar um código válido no dispositivo quando solicitado durante o processo de login. Cada dispositivo MFA atribuído a um usuário deve ser exclusivo; um usuário não pode digitar um código no dispositivo de outro usuário para ser autenticado. Os dispositivos de MFA não podem ser compartilhados entre contas ou usuários.

Os tokens de hardware TOTP e [chaves de segurança FIDO](id_credentials_mfa_enable_fido.md) são dispositivos físicos que você compra. Os dispositivos físicos de MFA geram códigos de TOTP para autenticação quando você faz login na AWS. Eles dependem de baterias, que podem precisar ser substituídas e ressincronizadas com a AWS com o passar do tempo. As chaves de segurança FIDO, que utilizam criptografia de chave pública, não requerem baterias e oferecem um processo direto de autenticação. Recomendamos o uso de chaves de segurança FIDO por sua resistência a phishing, o que as torna uma alternativa mais segura aos dispositivos de TOTP. Além disso, as chaves de segurança FIDO podem comportar vários usuários do IAM ou raízes no mesmo dispositivo, o que aumenta sua utilidade para proteção da conta. Para especificações e informações sobre aquisição para ambos os tipos de dispositivo, consulte [Autenticação multifator](https://aws.amazon.com/iam/details/mfa/).



Você pode habilitar um token de hardware TOTP para um usuário do IAM pelo Console de gerenciamento da AWS, pela linha de comando ou pela API do IAM. Para habilitar um dispositivo MFA para o Usuário raiz da conta da AWS, consulte [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md).

Você pode registrar até **oito** dispositivos com MFA de qualquer combinação dos [ tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) com seu Usuário raiz da conta da AWS e usuários do IAM. Com vários dispositivos de MFA, basta um dispositivo de MFA para acessar o Console de gerenciamento da AWS ou criar uma sessão pela AWS CLI como esse usuário.

**Importante**  
Recomendamos habilitar vários dispositivos de MFA para que seus usuários tenham acesso contínuo à conta, caso um dispositivo de MFA seja perdido ou fique inacessível.

**nota**  
Se quiser habilitar o dispositivo de MFA na linha de comando, use [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html). Para habilitar o dispositivo com MFA com a API do IAM, use a operação [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html). 

**Topics**
+ [Permissões obrigatórias](#enable-hw-mfa-for-iam-user-permissions-required)
+ [Habilitar um token de hardware TOTP para seu próprio usuário do IAM (console)](#enable-hw-mfa-for-own-iam-user)
+ [Habilitar um token de hardware TOTP para outro usuário do IAM (console)](#enable-hw-mfa-for-iam-user)
+ [Substituir um dispositivo de MFA físico](#replace-phys-mfa)

## Permissões obrigatórias
<a name="enable-hw-mfa-for-iam-user-permissions-required"></a>

Para gerenciar um token de hardware TOTP para seu próprio usuário do IAM ao proteger ações confidenciais relacionadas a MFA, você deve ter as permissões na seguinte política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowManageOwnUserMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice",
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "DenyAllExceptListedIfNoMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:EnableMFADevice",
                "iam:GetUser",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}
```

------

## Habilitar um token de hardware TOTP para seu próprio usuário do IAM (console)
<a name="enable-hw-mfa-for-own-iam-user"></a>

 Você pode habilitar seu próprio token de hardware TOTP no Console de gerenciamento da AWS.

**nota**  
Para poder habilitar um token de hardware TOTP, é necessário ter acesso físico ao dispositivo.

**Para habilitar um token de hardware TOTP para seu próprio usuário do IAM (console)**

1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no [console do IAM](https://console.aws.amazon.com/iam).
**nota**  
Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha **Sign in to a different account** (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

   Para obter o ID da Conta da AWS, fale com o administrador.

1. No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione **Security credentials** (Credenciais de segurança).   
![\[Link das credenciais de segurança do Console de gerenciamento da AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Na guia **Credenciais do AWS IAM**, na seção **Autenticação multifator (MFA)**, escolha **Atribuir dispositivo com MFA**.

1. No assistente, digite um **Device name** (Nome de dispositivo), escolha **Hardware TOTP token** (Token de hardware TOTP) e escolha **Next** (Avançar).

1. Digite o número de série do dispositivo. O número de série é geralmente encontrado na parte de trás do dispositivo.

1. Na caixa **MFA code 1 (Código MFA 1)**, digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.  
![\[Painel do IAM, dispositivo MFA\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/MFADevice.png)

1. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa **MFA code 2 (Código MFA 2)**. Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

1. Escolha **Add MFA** (Adicionar MFA).
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).

## Habilitar um token de hardware TOTP para outro usuário do IAM (console)
<a name="enable-hw-mfa-for-iam-user"></a>

 Você pode habilitar um token de hardware TOTP para outro usuário do IAM no Console de gerenciamento da AWS.

**Para habilitar um token de hardware TOTP para outro usuário do IAM (console)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários**.

1. Selecione o nome do usuário para o qual deseja habilitar a MFA.

1. Selecione a guia **Security Credentials (Credenciais de segurança)**. Em **Multi-Factor Authentication (MFA)** (autenticação multifator [MFA]), escolha **Assign MFA device** (Atribuir dispositivo de MFA).

1. No assistente, digite um **Device name** (Nome de dispositivo), escolha **Hardware TOTP token** (Token de hardware TOTP) e escolha **Next** (Avançar).

1. Digite o número de série do dispositivo. O número de série é geralmente encontrado na parte de trás do dispositivo.

1. Na caixa **MFA code 1 (Código MFA 1)**, digite o número de seis dígitos exibido pelo dispositivo MFA. Talvez seja necessário pressionar o botão na parte frontal do dispositivo para exibir o número.  
![\[Painel do IAM, dispositivo MFA\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/MFADevice.png)

1. Aguarde 30 segundos enquanto o dispositivo atualiza o código e digite o próximo número de seis dígitos na caixa **MFA code 2 (Código MFA 2)**. Talvez seja necessário pressionar o botão na parte frontal do dispositivo novamente para exibir o segundo número.

1. Escolha **Add MFA** (Adicionar MFA).
**Importante**  
Envie sua solicitação imediatamente após gerar os códigos de autenticação. Se você gerar os códigos e esperar muito tempo para enviar a solicitação, o dispositivo MFA será associado com êxito ao usuário, mas o dispositivo MFA ficará fora de sincronia. Isso ocorre porque as senhas únicas baseadas em tempo (time-based one-time passwords, TOTP) expiram após um curto período. Caso isso ocorra, você pode [ressincronizar o dispositivo](id_credentials_mfa_sync.md).

O dispositivo está pronto para uso com a AWS. Para obter informações sobre como usar a MFA com o Console de gerenciamento da AWS, consulte [Login habilitado para MFA](console_sign-in-mfa.md).

## Substituir um dispositivo de MFA físico
<a name="replace-phys-mfa"></a>

Você pode ter até oito dispositivos com MFA de qualquer combinação dos [tipos de MFA atualmente compatíveis](https://aws.amazon.com/iam/features/mfa/) atribuídos a um usuário ao mesmo tempo com seu Usuário raiz da conta da AWS e usuários do IAM. Se o usuário perde um dispositivo ou precisa substituí-lo por algum motivo, você deve primeiro desativar o dispositivo antigo. Em seguida, você pode adicionar o novo dispositivo para o usuário.
+ Para desativar o dispositivo atualmente associado a um usuário, consulte [Desativar um dispositivo com MFA](id_credentials_mfa_disable.md).
+ Para adicionar um token de hardware TOTP de substituição para um usuário do IAM, siga as etapas do procedimento [Habilitar um token de hardware TOTP para outro usuário do IAM (console)](#enable-hw-mfa-for-iam-user) anterior deste tópico.
+ Para adicionar um token de hardware TOTP de substituição para o Usuário raiz da conta da AWS, siga as etapas do procedimento [Habilitar um token de hardware TOTP para o usuário-raiz (console)](enable-hw-mfa-for-root.md) anterior neste tópico.