メニュー
AWS Identity and Access Management
ユーザーガイド

AWS での多要素認証 (MFA) の使用

セキュリティを向上させるには、多要素認証(MFA)を設定して AWS リソースを保護することを推奨します。MFA は、AWS ウェブサイトまたはサービスへのアクセス時に承認済みの認証デバイスまたは SMS テキストメッセージから取得した一意の認証コードを入力するようユーザーに要求することで、セキュリティをさらに高めます。

  • セキュリティトークンベース。このタイプの MFA では、MFA デバイス (ハードウェアまたは仮想デバイス) を IAM ユーザーまたは AWS ルートアカウントに割り当てる必要があります。仮想デバイスとは、電話や他のモバイル端末で実行されて物理デバイスをエミュレートするソフトウェアアプリケーションのことです。いずれのデバイスも、時間同期されるワンタイムパスワードアルゴリズムに基づいて 6 桁の数値コードを生成します。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられる各 MFA デバイスは一意であり、他のユーザーのデバイス向けのコードでは認証されません。セキュリティトークンベースの MFA を有効にする方法の詳細については、「ハードウェア MFA デバイスの有効化(AWS マネジメントコンソール)」と「多要素認証(MFA)仮想デバイスの有効化」を参照してください。

  • SMS テキストメッセージベース。このタイプの MFA では、IAM ユーザーとともにそのユーザーの SMS 対応モバイルデバイスの電話番号を設定する必要があります。ユーザーがサインインする際、AWS から SMS テキストメッセージによってユーザーのモバイルデバイスに 6 桁の数値コードが送信され、ユーザーはそのコードをサインイン時の 2 番目のウェブページに入力する必要があります。SMS ベースの MFA は IAM ユーザーにのみ使用できます。このタイプの MFA を AWS ルートアカウントに使用することはできません。SMS のテキストメッセージベースの MFA を有効にする方法の詳細については、「プレビュー - SMS テキストメッセージ MFA デバイスの有効化」を参照してください。

    注記

    SMS MFA は現在、プレビュープログラムとしてのみ使用できます。参加をサインアップしたすべてのユーザーが使用できます。サインアップするには、「Multi-Factor Authentication」詳細ページの手順に従います。

ユーザーが 6 桁の数字の MFA コードを受け取る方法にかかわらず、ユーザーは AWS マネジメントコンソールのサインインプロセスの 2 番目のページで、このコードを入力します。ユーザーがコンソールではなく AWS STS API または CLI を操作している場合、STS API にパラメータとしてハードウェアまたは仮想 MFA デバイスコードを渡して、一時認証情報を取得できます。

注記

現在、AWS マネジメントコンソールでは SMS ベースの MFA のみ使用できます。SMS ベースの MFA を API または CLI で使用することはできません。

このセクションでは、ユーザー用の MFA を設定する方法と、トークンデバイスまたは SMS テキストメッセージを使用するようにユーザーをセットアップする方法を示します。また、既存のデバイストークンの同期と非アクティブ化の方法と、デバイスが失われた場合や機能しなくなった場合の処置について説明します。

注記

  • ルートアカウントの MFA を有効化すると、ルートアカウントの認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。

  • AWS アカウント (root ユーザー) で MFA を有効にし、同じメールアドレスを使用する関連付けられた Amazon.com アカウントでも MFA を有効にした場合、root ユーザーとしてサインインするときに必ず 2 つの異なる MFA コードを求めるプロンプトが表示されます。

AWS MFA に関するよくある質問については、AWS 多要素認証 FAQs を参照してください。