Configuración IAM MFA
Clase 7 de 20 • Curso Práctico de AWS: Roles y Seguridad con IAM
Contenido del curso
Mariano Levitan
student•
hace 4 años
Enrique Alexis Lopez Araujo
student•
hace 4 años
David De la Cruz
student•
hace 4 años
Clase 7 de 20 • Curso Práctico de AWS: Roles y Seguridad con IAM
Contenido del curso
Mariano Levitan
Enrique Alexis Lopez Araujo
David De la Cruz
Jesús David Vega Porras
Alfonso Andres Zapata Guzman
Wilbert J Galano Batista
Santiago Casallas Bohorquez
jaime andres quintero
Alfonso Andres Zapata Guzman
Samuel Quintana Tellez
DAVID GOMEZ CORTES
Alfonso Andres Zapata Guzman
Juan Manuel Hincapié
Diego Fernando Ramos Aguirre
Iván Frías Gil
Darlyn Bravo
Jesus Maria Gonzalez Guardo
Mario Alexander Vargas Celis
Jesus Maria Gonzalez Guardo
Jose Ramon Moreno Sanchez
Leonel Rojas
Victor Rodriguez
Maikel Garcia Chacon
Enrique Alexis Lopez Araujo
Wilbert J Galano Batista
Luis Oscar Jaramillo
Bryan Castano
Jhon Freddy Tavera Blandon
Hernán Arica
Jeisson Espinosa
Carlos Eduardo Bracho Rosales
Jair Enrique Morales Vidal
Sebastian Camelo
Configuré el MFA usando Authy. No conocía la app, está muy buena la voy a usar para otras cosas de ahora en mas :D
Lo uso siempre para mi dia a dia.
Consuta, habilitar el MFA Authy con AWs tiene costo?
Si alguno, como yo, trató de crear este MFA en el usuario autoadministrado (no en el de root directamente), probablemente tendrán el mismo mensaje de que no tienen suficientes permisos para crear su propio MFA. Para ello deben crear una nueva politica con el siguiente JSON, y asignarla al grupo al que pertenece su usuario:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewAccountInfo", "Effect": "Allow", "Action": "iam:ListVirtualMFADevices", "Resource": "" }, { "Sid": "AllowManageOwnVirtualMFADevice", "Effect": "Allow", "Action": [ "iam:CreateVirtualMFADevice" ], "Resource": "arn:aws:iam:::mfa/" }, { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam:::user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:CreateVirtualMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice", "sts:GetSessionToken" ], "Resource": "*", "Condition": { "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"} } } ] }
En realidad no tuve ningún problema, y eso que aun tengo el usuario administrador que se creo en uno de los cursos anteriores de esta misma saga y profesor con AWS.
Igual tambien ya tengo configurado desde ese mismo curso anterior la alarma de gastos, la alarma la configure con el usuario administrador, luego de darle los permisos necesarios desde el usuario root.
~ Que tal Platzinauta, ya conectamos en LinkedIn? ~
¡Que estas esperando! Conectemos en
GitHub,Medium,Redes socialeso unete al mejor servidor deDiscordsobre Python y ciencia de datos en español.
No me dio ningún error pero esta bueno el dato en el caso de que de como dice en el enlace que compartiste puede ocurrir si empiezas el proceso y no terminas. En fin me guardo el dato para si le sucede a algunos de mis clientes.
Si tienes una MAC, tienes la oportunidad de poder autenticarse con la huella dactilar utilizando Apple ID
Yo personalmente uso estas cosas pero de software open source que yo mismo lo pueda montar. Uso mi propio servidor de bitwarden llamado bitwarden rs el cual maneja esta opcion de guardar los tokens de todas nuestras contraseñas, y en aplicacion ios uso tofu
Super interesante, las password yo las guardo sticky password, como por 20$ me compre lla licencia de por vida hace años y feliz a la fecha. No configuro nada y los password estan en el servidor de la empresa en copia de seguridad. Todas mis password son de 16 o mas caracteres. Y authy obviamente para complementar.
~ Que tal Platzinauta, ya conectamos en LinkedIn? ~
¡Que estas esperando! Conectemos en
GitHub,Medium,Redes socialeso unete al mejor servidor deDiscordsobre Python y ciencia de datos en español.
otra alternativa es 1Password, es de pago pero vale la pena cada centavo
Hola. Cual es la diferencia con los otros gestores de contraseña?
Super interesante, las password yo las guardo en sticky password, como por 20$ me compre la licencia de por vida hace años y feliz a la fecha. No configuro nada y los password estan en el servidor de la empresa en copia de seguridad. Todas mis password son de 16 o mas caracteres. Y authy obviamente para complementar.
~ Que tal Platzinauta, ya conectamos en LinkedIn? ~
¡Que estas esperando! Conectemos en
GitHub,Medium,Redes socialeso unete al mejor servidor deDiscordsobre Python y ciencia de datos en español.
AWS nos hace unas recomendaciones de apps o dispositivos que nos permitirán acceder a la funcionalidad y protección ofrecida por el servicio de MFA.
Android Twilio Authy Authenticator, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator, Symantec VIP
iOS Twilio Authy Authenticator, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator, Symantec VIP
Activar MFA
Gracias por el aporte.
Está muy bien esta app de Authy
Yo uso OTP para esto, está disponible para Android y iPhone.
Sería bueno ir actualizando estos cursos!!!
🔐 Configuración de IAM MFA en AWS
Habilitar la autenticación multifactor (MFA) en AWS Identity and Access Management (IAM) aumenta la seguridad al requerir un segundo factor de autenticación al iniciar sesión.
✅ Pasos para Configurar MFA en un Usuario IAM
1️⃣ Acceder a la Consola de AWS
🔹 Inicia sesión en la consola de administración de AWS con una cuenta que tenga permisos de administrador.
2️⃣ Ir a IAM (Identity and Access Management)
🔹 En el menú de AWS, busca IAM y selecciona el servicio.
3️⃣ Seleccionar el Usuario IAM
🔹 En la barra lateral izquierda, haz clic en Usuarios. 🔹 Selecciona el usuario IAM al que deseas habilitar MFA.
4️⃣ Configurar MFA
🔹 Dentro del perfil del usuario, ve a la pestaña Seguridad. 🔹 En la sección de Dispositivos de autenticación multifactor, haz clic en Asignar MFA. 🔹 Elige el tipo de MFA a configurar:
Tipo de MFADescripciónDispositivos SoportadosDispositivo virtual MFAUsa una app para generar códigos de 6 dígitos.📱 Google Authenticator, AuthyDispositivo MFA basado en hardwareGenera códigos en un dispositivo físico.🔑 YubiKey, Token MFAMFA con clave de seguridad FIDO2Utiliza una llave de seguridad para autenticación.🖥 USB/NFC (Ej: Titan Security Key)
5️⃣ Configurar MFA con un Dispositivo Virtual (Google Authenticator, Authy, etc.)
6️⃣ Finalizar y Probar el Inicio de Sesión con MFA
🔹 Cierra la sesión y vuelve a iniciar. 🔹 Ingresa tu usuario y contraseña de AWS. 🔹 Se te pedirá un código MFA generado por la aplicación. 🔹 Una vez ingresado correctamente, accederás a la consola.
🎯 Recomendaciones de Seguridad
✔ Obliga el uso de MFA para todos los usuarios con permisos administrativos mediante una política de IAM. ✔ Configura múltiples dispositivos MFA en caso de pérdida o robo del principal. ✔ Usa claves de seguridad FIDO2 para mayor protección contra ataques de phishing.
🔐 Conclusión Habilitar MFA en IAM es una práctica esencial para reforzar la seguridad en AWS, asegurando que solo usuarios autorizados accedan a la cuenta. 🚀
Que buen aporte muy detallado
La prueba es con el usuario root y no con el de prueba que se creo hace unas clases, o me equivoco? 🤔 De ser así como se habilita el código MFA en el usuario de prueba?
Hola José. Te logueas con el usuario con el que quieres habilitar el MFA y sigues el mismo procedimiento del video.
Jose, es valida tu pregunta. Hasta la clase anterior el usuario de prueba creado (no root) se habia sacado del grupo Administrator (que es el tiene permismos suficientes AdministratorAccess) y se incluyó en el nuevo grupo creado Developers (con permisos IAMReadOnlyAccess ).
Yo lo que hice fue asociarlo al usuario de prueba, nuevamente el grupo de AdministratorAccess
En caso de robo del telefono celular, ¿De que forma se recupera el acceso a la cuenta si ya no tengo el dispositvo para obterner el token?
Tendrias que hacer algunos pasos con soporte de aws, si se puede recuperar, pero es necesario hablar con soporte de aws
Con un ticket a Soporte me paso que se me rompió mi cell y tuve que hacerlo de esa manera. En el caso de authy no seria problema ya que es multi dispositivo, no lo utilizo porque google autenticator me funciona bien y la verdad al tenerlo en varios dispositivos si no tienes todos los steps de seguridad que te da authy puedes correr el riesgo de comprometer las credenciales al dejar ejemplo la session de tu pc abierta con la aplicación de authy corriendo. Para evitar eso y usar authy para el caso de perder tu único dispositivo con (Google Autenticator) y evitarte el ticket a soporte es recomendable que:
La configuracion MFA tuve que hacerla obligatoriamente porque aws me la pidio despues de 1 mes creo de haber creado mi usuario root , la hice con google autenticator
It has been Done Over my two IAM users Today Dec-17-2024.
Gran seguridad de AWS. con autenticación en dos pasos full
Vendría muy bien una actualización del curso, LA NECESITA, pero muy bueno lo que se aprende
Información resumida de esta clase #EstudiantesDePlatzi
Authy es una buena aplicación
Abrimos Authy en el pc y agregamos la clave que nos genera AWS para conectarnos al servicio de Authy
Agregar seguridad dentro de AWS es fácil e importante
Como alternativas Open Source, les recomiendo que le den un vistazo a Aegis para android y Nitrokey como llave fisica.
Llevo varios años usando Authy, es una excelente app para MFA
instale en mi celular google authenticator, configure en la cuenta de aws MFA y al logearme nuevamente me pide el código MFA e ingresa a consola de AWS.