仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール) - AWS Identity and Access Management
必要な許可IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)仮想 MFA デバイスの交換

仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)

電話や他のデバイスを仮想多要素認証 (MFA) デバイスとして使用できます。これを行うには、標準ベースの TOTP (時刻ベースのワンタイムパスワード) アルゴリズムである RFC 6238 に準拠するモバイルアプリをインストールします。これらのアプリは、6 桁の認証コードを生成します。これらはセキュリティ保護されていないモバイルデバイス上で実行できるため、仮想 MFA から、FIDO デバイスと同レベルのセキュリティが提供されない場合があります。ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。

一般的な仮想 MFA アプリでは、複数の仮想デバイスの作成がサポートされているため、複数の AWS アカウント またはユーザーに対しても同じアプリを使用できます。AWS アカウントのルートユーザー および IAM ユーザーに対し、[現在サポートされている MFA タイプ]の任意の組み合わせで、最大 8 台の MFA デバイスを登録できます。MFA デバイスが複数ある場合でも、そのユーザとして AWS Management Console にログインしたり、AWS CLI を使用してセッションを作成したりするのに必要なのは、1 台の MFA デバイスだけです。複数の MFA デバイスを登録することをお勧めします。認証アプリについては、認証アプリが搭載されたデバイスを紛失したり破損したりした場合に、アカウントにアクセスできなくなるのを防ぐため、それらのアプリのクラウドバックアップまたは同期機能を有効にすることもお勧めします。

使用できる仮想 MFA アプリのリストについては、「多要素認証」を参照してください。AWS では、6 桁の OTP を生成する仮想 MFA アプリが必要です。

必要な許可

IAM ユーザーの仮想 MFA デバイスを更新するには、次のポリシーのアクセス許可が必要です: AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の MFA デバイスを管理できるようにします

IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)

AWS Management Console で IAM を使用して、アカウントの ユーザーの仮想 MFA デバイスを有効化および管理することができます。IAM リソース (仮想 MFA デバイスを含む) にタグをアタッチして、タグへのアクセスを特定、整理、制御することができます。仮想 MFA デバイスにタグを付けることができるのは、AWS CLI または AWS API を使用する場合のみです。AWS CLI または AWS API を使用して、MFA デバイスを有効化および管理するには、「仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API)」を参照してください。IAM リソースのタグ付けの詳細については、「IAM リソースのタグ付け」を参照してください

注記

MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。例えば、スマートフォンで実行される仮想 MFA デバイスを使用するユーザー用に MFA を設定するとします。その場合、ウィザードを完了するには、そのスマートフォンを利用できる必要があります。このため、ユーザーが自分の仮想 MFA デバイスを設定して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。このアクセス許可を付与する IAM ポリシーの詳細および例については、「IAM チュートリアル: ユーザーに自分の認証情報および MFA 設定を許可する」およびポリシーの例「AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の MFA デバイスを管理できるようにします」を参照してください。

IAM ユーザーの仮想 MFA デバイスを有効にするには (コンソール)

  1. AWS Management Consoleにサインインして、IAM コンソールを開きます https://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. [Users] (ユーザー) のリストで、IAM ユーザー名を選択します。

  4. [Security Credentials] タブを選択します。[Multi-factor authentication (MFA) (多要素認証 (MFA)) で、[Assign MFA device] (MFA デバイスの割り当て) を選択します。

  5. ウィザードで [デバイス名] を入力し、[認証アプリ][次へ] の順に選択します。

    IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できる「シークレット設定キー」を示しています。

  6. 仮想 MFA アプリを開きます。仮想 MFA デバイスをホストするために使用できるアプリケーションのリストについては、「多要素認証」を参照してください。

    仮想 MFA アプリが複数の仮想 MFA デバイスまたはアカウントをサポートしている場合は、新しい仮想 MFA デバイスまたはアカウントを作成するオプションを選択します。

  7. MFA アプリが QR コードをサポートしているかどうかを確認してから、次のいずれかを実行します。

    • ウィザードから [Show QR code] (QR コードの表示) を選択し、アプリを使用して QR コードをスキャンします。例えば、カメラアイコンまたは [Scan code] (スキャンコード) に似たオプションを選択し、デバイスのカメラを使用してコードをスキャンします。

    • 同じウィザードで [Show secret key] (シークレットキーを表示) を選択した後、MFA アプリにシークレットキーを入力します。

    これで仮想 MFA デバイスはワンタイムパスワードの生成を開始します。

  8. [デバイスの設定] ページで、[MFA コード 1] ボックスに、現在仮想 MFA デバイスに表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます (最長 30 秒)。生成されたら [MFA code 2 (MFA コード 2)] ボックスに 2 つ目のワンタイムパススワードを入力します。[Add MFA] (MFA を追加) を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

これで仮想 MFA デバイスを AWS で使用できます。AWS Management Consoleでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

仮想 MFA デバイスの交換

AWS アカウントのルートユーザー および IAM ユーザーに対し、「現在サポートされている MFA タイプ」の任意の組み合わせで、最大 8 台の MFA デバイスを登録できます。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。