Proteger os recursos críticos da sua conta AWS configurando autenticação de múltiplos fatores (MFA) deve ser uma prioridade máxima, independentemente do risco da sua conta. Como? O MFA da AWS é uma funcionalidade de segurança poderosa que aprimora significativamente a segurança da sua conta AWS.
Neste tutorial, você aprenderá como configurar o MFA para sua conta AWS e garantir que apenas usuários autorizados possam acessar sua infraestrutura e recursos da AWS.
Pronto? Continue lendo e mantenha entidades maliciosas longe dos seus recursos AWS!
Pré-requisitos
Este tutorial inclui demonstrações práticas. Para seguir, certifique-se de ter o seguinte em vigor:
- Uma conta AWS com faturamento ativo – Registre-se para uma conta gratuita se ainda não tiver uma.
- A mobile device (with an internet connection) to use for an authentication app to set up AWS MFA – This tutorial uses an Android device (Xiaomi 9C) as an example. Still, the process is similar for iOS devices.
Criando um Usuário IAM com Acesso por Senha
Antes de configurar o AWS MFA, criar um usuário IAM com acesso por senha é crucial. Isso garante que você tenha uma identidade segura e separada para acessar seus recursos AWS. Mais tarde, você usará esse usuário IAM específico para o AWS MFA.
Um usuário IAM é uma identidade dentro da sua conta AWS que você cria e gerencia para permitir acesso seguro aos seus recursos AWS. Cada usuário IAM possui credenciais exclusivas (ou seja, nome de usuário e senha) para fazer login no Console de Gerenciamento da AWS e acessar os recursos AWS.
Para criar um usuário IAM com acesso por senha:
1. Abra seu navegador da web preferido, faça login no Console de Gerenciamento da AWS como usuário root e navegue até o console IAM.
2. No console IAM, vá para Usuários (painel esquerdo), e clique em Adicionar usuário para iniciar a adição de um novo usuário.
3. Configure os detalhes do usuário IAM da seguinte maneira:
- Nome do usuário: Forneça um nome de usuário único para este novo usuário (aws_mfa_demo)
- Marque a caixa de seleção Fornecer acesso do usuário ao Console de Gerenciamento da AWS para permitir que o usuário faça login no Console de Gerenciamento da AWS.
- Selecione Eu quero criar um usuário IAM para criar um novo usuário IAM.
- Selecione Senha autogerada para que a AWS gere uma senha forte para o usuário.
Depois de configurado, clique em Avançar para continuar.
4. Agora, escolha a opção Anexar diretório de políticas, selecione a política AdministratorAccess na lista e clique em Avançar para conceder ao usuário acesso total aos recursos da AWS.
5. Revise os detalhes do usuário e clique em Criar usuário para finalizar a criação do usuário IAM.
6. Por último, abra uma nova guia do navegador, acesse a URL de login do Console e faça login com as credenciais do usuário IAM exibidas.
Por razões de segurança, é altamente recomendável fazer login na sua conta AWS IAM por meio de um navegador privado (por exemplo, Google Chrome’s Incognito), especialmente ao configurar o AWS MFA.
Configurando o AWS MFA para Proteger Recursos da AWS
Com um usuário IAM dedicado criado, você está pronto para configurar o AWS MFA. Mas antes, você precisa instalar um aplicativo de autenticação em seu dispositivo móvel que gera um código único de seis dígitos. Junto com sua senha, o código de seis dígitos é necessário para concluir o processo de MFA ao fazer login na AWS.
A AWS suporta muitos aplicativos de autenticação, mas a escolha deste tutorial é o Google Authenticator, que é gratuito e compatível com dispositivos Android e iOS.
Para começar a configurar o AWS MFA para proteger seus recursos:
1. Abra a Google Play Store no seu dispositivo Android, procure e instale o Google Authenticator, como mostrado abaixo.
Talvez o seu uso seja alto, e você queira usar vários dispositivos (smartphone, tablet ou computador desktop) para acessar sua conta AWS com MFA ativado. Se for o caso, você pode usar o Authy para autenticar suas tentativas de login em qualquer um de seus dispositivos.
2. Uma vez instalado, retorne à guia do navegador onde você fez login como usuário IAM, vá para o console IAM e selecione o usuário recém-criado (aws_mfa_demo).
3. Em Recomendações de Segurança, clique em Adicionar MFA próximo à opção Adicionar MFA para você mesmo para iniciar a atribuição de um MFA.
4. Agora, clique em Atribuir MFA para continuar.
5. Na próxima página, configure as configurações da seguinte forma:
- Nome do dispositivo – Forneça um nome descritivo para o seu dispositivo que o ajude a distinguir entre diferentes dispositivos MFA associados à sua conta AWS.
- Selecionar dispositivo MFA – Selecione um dispositivo MFA entre as opções disponíveis, dependendo de suas necessidades e preferências específicas.
A escolha deste tutorial é o aplicativo Autenticador. Os autenticadores baseados em software geralmente são a escolha mais popular devido à facilidade de uso e disponibilidade em dispositivos móveis. No entanto, opções baseadas em hardware podem ser preferíveis em ambientes de alta segurança onde são necessárias medidas adicionais de segurança física.
| MFA Device | Details |
|---|---|
| Authenticator app | Involves a software-based authenticator app, such as Google Authenticator or Authy, to generate the MFA codes. |
| Security Key | Involves a hardware-based security key, such as a YubiKey or a Nitrokey, to generate the MFA codes. With this option, you must purchase the hardware Security Key from a third-party website or vendor — more expensive than a software-based authenticator app. |
| Hardware TOTP token | Involves a hardware token (an RSA SecurID or a Gemalto token) to generate the MFA codes. These tokens are specifically intended for users with AWS GovCloud (US) accounts accessing IAM. |
Uma vez configurado, clique em Próximo para iniciar o registro do seu dispositivo MFA.
A AWS permite que você registre até oito dispositivos MFA (pode ser uma combinação de qualquer tipo de MFA suportado) com seus usuários root e IAM. Este recurso oferece flexibilidade na gestão dos seus dispositivos MFA. Ao mesmo tempo, você pode escolher o melhor tipo de dispositivo MFA para cada usuário com base em suas necessidades e requisitos específicos.
Seu navegador redireciona para uma página como a abaixo, onde você pode ver um código QR exibido.
6. Em seguida, abra o aplicativo Google Authenticator em seu dispositivo móvel e toque em Escanear um código QR para abrir a câmera do seu dispositivo para a digitalização do código QR.
7. Segure a câmera do seu dispositivo em direção ao código QR exibido em seu navegador, garantindo que o código QR esteja em foco e totalmente visível na tela.
O aplicativo Google Authenticator detecta automaticamente o código QR e adiciona uma nova entrada para seu usuário IAM da AWS, juntamente com um código de autenticação de seis dígitos. Note que o código de seis dígitos muda periodicamente.
8. Agora, preencha as duas caixas vazias na página Configurar dispositivo com dois códigos de autenticação sucessivos do aplicativo Google Authenticator e clique em Adicionar MFA. Fazendo isso autentica e registra seu dispositivo MFA para seu usuário IAM.
Note que cada código de seis dígitos é válido apenas por um período limitado, normalmente 30 segundos, e expira. Este aspecto de tempo limitado do código MFA aumenta a segurança ao reduzir o tempo de janela para que os atacantes interceptem o código para obter acesso não autorizado aos recursos da AWS.
O sistema MFA verifica que o dispositivo do usuário gera os códigos em tempo real, exigindo que o usuário forneça dois códigos consecutivos. Esse comportamento é mais seguro do que os códigos sendo reproduzidos ou roubados de uma sessão anterior.
Ativar a autenticação MFA para um usuário IAM afeta apenas as credenciais específicas desse usuário. Outros usuários IAM na mesma conta AWS têm identidades distintas com credenciais, e cada identidade tem sua própria configuração MFA.
9. Por último, retorne à página do console IAM e você verá que o dispositivo MFA foi adicionado com sucesso para seu usuário IAM, conforme mostrado abaixo.
Verificação da Configuração MFA
Após configurar o MFA para sua conta AWS, ainda é necessário verificar se a configuração MFA está funcionando corretamente antes de confiar nela para autenticação.
Para verificar se a configuração MFA funciona:
1. Faça logout do console IAM e faça login novamente usando as credenciais do seu usuário IAM. Desta vez, será solicitado que você insira um código de autenticação MFA de seis dígitos do aplicativo Google Authenticator em seu dispositivo.
2. Insira o código e clique em Enviar para concluir o processo de autenticação.
3. Por fim, tente acessar seus recursos AWS e veja se tudo corre bem.
Se você não puder usar seu dispositivo MFA para acessar seus recursos AWS, clique no botão Resincronizar no console IAM para ressincronizar seu dispositivo MFA.
Conclusão
A segurança é sempre uma preocupação principal quando se trata de computação em nuvem. Com a ajuda da autenticação multifatorial, você aprimora a segurança de sua conta AWS. E neste tutorial, você aprendeu como configurar a MFA da AWS para usuários IAM para proteger seus recursos contra acessos não autorizados.
Com uma MFA totalmente funcional, você pode ter confiança de que sua conta AWS e recursos estão protegidos contra atividades maliciosas.
Proteger sua conta via Console de Gerenciamento da AWS funciona muito bem, com certeza. Mas se você prefere trabalhar em um ambiente de linha de comando, por que não usar a MFA da AWS via AWS CLI em vez disso?