AWS Management Consoleで仮想 MFA デバイスを割り当てる

電話や他のデバイスを仮想多要素認証 (MFA) デバイスとして使用できます。これを行うには、標準ベースの TOTP (時刻ベースのワンタイムパスワード) アルゴリズムである RFC 6238 に準拠するモバイルアプリをインストールします。これらのアプリは、6 桁の認証コードを生成します。これらはセキュリティ保護されていないモバイルデバイス上で実行できるため、仮想 MFA から、FIDO デバイスと同レベルのセキュリティが提供されない場合があります。ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。

一般的な仮想 MFA アプリでは、複数の仮想デバイスの作成がサポートされているため、複数の AWS アカウント またはユーザーに対しても同じアプリを使用できます。MFA タイプを任意に組み合わせた最大 8 台の MFA デバイスを AWS アカウントのルートユーザーおよび IAM ユーザーと共に登録できます。AWS Management Consoleにログインしたり、AWS CLI を使用してセッションを確立したりするには、MFA デバイスが 1 台あれば十分です。複数の MFA デバイスを登録することをお勧めします。また、認証アプリ搭載のデバイスを紛失または損傷した場合にアカウントにアクセスできなくなるのを防ぐため、クラウドバックアップや同期機能を有効にすることをお勧めします。

AWS では、6 桁の OTP を生成する仮想 MFA アプリが必要です。使用できる仮想 MFA アプリケーションのリストについては、「多要素認証」を参照してください。

必要なアクセス許可

IAM ユーザーの仮想 MFA デバイスを更新するには、次のポリシーのアクセス許可が必要です: AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の MFA デバイスを管理できるようにします。

IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)

AWS Management Console で IAM を使用して、アカウントの ユーザーの仮想 MFA デバイスを有効化および管理することができます。IAM リソース (仮想 MFA デバイスを含む) にタグをアタッチして、タグへのアクセスを特定、整理、制御することができます。仮想 MFA デバイスにタグを付けることができるのは、AWS CLI または AWS API を使用する場合のみです。AWS CLI または AWS API を使用して、MFA デバイスを有効化および管理するには、「AWS CLI または AWS API で MFA デバイスを割り当てる」を参照してください。IAM リソースのタグ付けの詳細については、「AWS Identity and Access Management リソースのタグ」を参照してください

注記

MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。例えば、スマートフォンで実行される仮想 MFA デバイスを使用するユーザー用に MFA を設定するとします。その場合、ウィザードを完了するには、そのスマートフォンを利用できる必要があります。このため、ユーザーが自分の仮想 MFA デバイスを設定して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。このアクセス許可を付与する IAM ポリシーの詳細および例については、「IAM チュートリアル: ユーザーに自分の認証情報および MFA 設定を許可する」およびポリシーの例「AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の MFA デバイスを管理できるようにします」を参照してください。

IAM ユーザーの仮想 MFA デバイスを有効にするには (コンソール)

1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. ナビゲーションペインで [Users (ユーザー)] を選択します。

3. [Users] (ユーザー) のリストで、IAM ユーザー名を選択します。

4. [Security Credentials] タブを選択します。[Multi-factor authentication (MFA) (多要素認証 (MFA)) で、[Assign MFA device] (MFA デバイスの割り当て) を選択します。

5. ウィザードで [デバイス名] を入力し、[認証アプリ]、[次へ] の順に選択します。

   IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できる「シークレット設定キー」を示しています。

6. 仮想 MFA アプリを開きます。仮想 MFA デバイスをホストするために使用できるアプリケーションのリストについては、「多要素認証」を参照してください。

   仮想 MFA アプリが複数の仮想 MFA デバイスまたはアカウントをサポートしている場合は、新しい仮想 MFA デバイスまたはアカウントを作成するオプションを選択します。

7. MFA アプリが QR コードをサポートしているかどうかを確認してから、次のいずれかを実行します。

   • ウィザードから [Show QR code] (QR コードの表示) を選択し、アプリを使用して QR コードをスキャンします。そのための選択肢には、デバイスのカメラを使用してコードをスキャンするカメラアイコンやスキャンコードなどがあります。

   • 同じウィザードで [Show secret key] (シークレットキーを表示) を選択した後、MFA アプリにシークレットキーを入力します。

   これで仮想 MFA デバイスはワンタイムパスワードの生成を開始します。

8. [デバイスの設定] ページで、[MFA コード 1] ボックスに、現在仮想 MFA デバイスに表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます (最長 30 秒)。生成されたら [MFA code 2 (MFA コード 2)] ボックスに 2 つ目のワンタイムパススワードを入力します。[Add MFA] (MFA を追加) を選択します。

   重要

   コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、タイムベースドワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

これで仮想 MFA デバイスを AWS で使用できます。AWS Management Consoleでの MFA 利用の詳細については、「MFA 対応のサインイン」を参照してください。

仮想 MFA デバイスの交換

AWS アカウントのルートユーザーと IAM ユーザーは、MFA タイプを任意に組み合わせた最大 8 台の MFA デバイスを登録できます。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合は、古いデバイスを非アクティブ化します。その後、新しいデバイスをユーザーに追加できます。

• 別の IAM ユーザーに関連付けられているデバイスを非アクティブ化するには、「MFA デバイスを無効にする」を参照してください。

• 別の IAM ユーザーの交換用の仮想 MFA デバイスを追加するには、上記の「IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)」の手順に従います。

• AWS アカウントのルートユーザー ユーザーの交換用の仮想 MFA デバイスを追加するには、ルートユーザーの仮想 MFA デバイスを有効にする (コンソール) の手順に従います。