メニュー
AWS Identity and Access Management
ユーザーガイド

MFA デバイスの有効化

MFA をセットアップして使用するための手順の概要および関連する情報へのリンクは、以下のとおりです。

  1. 次のいずれかのような MFA トークンデバイスまたは SMS 対応モバイルデバイスを取得します。AWS account root user または IAM ユーザー 1 人あたり 1 つの MFA デバイスのみ有効にすることができ、デバイスは指定されたユーザーのみが使用できます。

    • ハードウェアベースのトークンデバイス。たとえば、「Multi-Factor Authentication」ページで説明されている、AWS でサポートされるハードウェアトークンデバイスのいずれかです。

    • 仮想トークンデバイス。これは、標準ベースの TOTP (時刻ベースのワンタイムパスワード) アルゴリズムである RFC 6238 に準拠するソフトウェアアプリケーションです。このアプリケーションは、タブレットまたはスマートフォンなどのモバイルデバイスにインストールできます。仮想 MFA デバイスとして使用する少数のサポート済みアプリのリストについては、「Multi-Factor Authentication」ページの「仮想 MFA アプリケーション」セクションを参照してください。

    • 標準 SMS テキストメッセージを受信できる携帯電話。

      注記

      SMS ベースの MFA を使用する場合は、モバイルデバイスの事業者からテキストメッセージの料金が請求される可能性があります。

      SMS ベースの MFA は IAM ユーザーのみ使用でき、root user が使用することはできません。

  2. MFA デバイスを有効にします。 デバイスを有効にするには 2 つのステップが必要です。最初に、IAM で MFA デバイスエンティティを作成します。次に、MFA デバイスエンティティを IAM ユーザーと関連付けます。これらのタスクは AWS マネジメントコンソール、AWS CLI、Tools for Windows PowerShell、または IAM API で実行できます。

    各タイプの MFA デバイスを有効にする方法の詳細については、次のトピックを参照してください。

  3. ログインするか、または AWS リソースにアクセスする場合には、MFA デバイスを使用します。次の点に注意してください。

    • AWS ウェブサイトにアクセスするには、普段使用しているユーザー名とパスワードに加えて、デバイスからの MFA コードが必要です。サインインする IAM ユーザーについて SMS による MFA が有効であると AWS で判断された場合は、設定された電話番号に自動的に MFA コードが送信されます。

    • MFA 保護 API にアクセスするには、MFA コード、MFA デバイスの識別子 (物理デバイスのシリアルナンバー、仮想デバイスの ARN、または AWS で定義されている SMS デバイス)、普段使用しているアクセスキー ID およびシークレットアクセスキーが必要となります。

      注記

      SMS MFA のパブリックプレビューの期間中は、AWS マネジメントコンソール でのみ SMS デバイスによる認証を実行できます。一時的な認証情報を要求するために SMS MFA デバイスの MFA 情報を AWS STSAPI に渡すことはできません。

    詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。