メニュー
AWS Identity and Access Management
ユーザーガイド

ハードウェア MFA デバイスの有効化 (Console)

ハードウェア MFA デバイスは、コマンドラインの AWS マネジメントコンソール から、または IAM API から有効にできます。次の手順では、AWS マネジメントコンソールを使って AWS アカウント内のユーザーのデバイスを有効にする方法を示します。AWS account root user の MFA デバイス設定を有効にするには、「AWS アカウント root ユーザー用にハードウェア MFA デバイスを有効にする (コンソール)」を参照してください。

root user または IAM ユーザーあたり 1 つの MFA デバイス (任意の種類) を有効にできます。

注記

コマンドラインからデバイスを有効化する場合には、 aws iam enable-mfa-device を使用します。IAM API で MFA デバイスを有効化する場合には、EnableMFADevice アクションを使用します。

IAM ユーザーのハードウェア MFA デバイスを有効にする (コンソール)

AWS マネジメントコンソール からハードウェア MFA デバイスを有効にできます。

IAM ユーザー (コンソール) のハードウェア MFA デバイスを有効にするには、

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. MFA を有効にする対象のユーザー名を選択し、[Security credentials] タブを選択します。

  4. [Assigned MFA device] の横にある鉛筆アイコン ( ) をクリックします。

  5. Manage MFA Device ウィザードで [A hardware MFA device] を選択してから [Next Step] を選択します。

  6. 対象デバイスのシリアルナンバーを入力します。シリアルナンバーは、通常、デバイスの背面にあります。

  7. [Authentication Code 1] に MFA デバイスに表示されている 6 桁の数字を入力します。デバイス前面のボタンを押して数字を表示する場合があります。

     IAM ダッシュボード、MFA デバイス
  8. デバイスがコードをリフレッシュするまで 30 秒ほど待ち、リフレッシュ後に表示された 6 桁の数字を [Authentication Code 2] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  9. [Next Step] を選択します。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、IAM のサインインページでの MFA デバイスの使用を参照してください。

AWS アカウント root ユーザー用にハードウェア MFA デバイスを有効にする (コンソール)

AWS マネジメントコンソール で IAM を使用して root user のハードウェア MFA デバイスを設定して有効にすることができます。AWS アカウントの MFA デバイスを管理するには、AWS account root user 認証情報を使用して AWS にサインインしている必要があります。他の認証情報を使用して、root user の MFA デバイスを管理することはできません。

お客様の MFA デバイスが紛失、盗難にあった場合、または動作しない場合でも、認証の代替要因を使用してサインインすることができます。つまり、MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと電話を使用してアイデンティティを確認してサインインすることができます。root user の MFA を有効にする前に、アカウント設定と連絡先情報をチェックして、E メールと電話番号にアクセスできることを確認してください。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。この機能を無効にするには、AWS サポート に連絡してください。

root user の MFA デバイスを有効にするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

    重要

    AWS アカウントの MFA デバイスを管理するには、root user 認証情報を使用して AWS にサインインする必要があります。他の認証情報を使用してサインインした場合、root user の MFA デバイスを管理することはできません。

  2. 次のいずれかを行ってください。

    • オプション 1: [Dashboard] を選択し、[Security Status] の [Activate MFA on your root account] を展開します。

    • オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[Security Credentials] を選択します。必要に応じて、[Continue to Security Credentials] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

       ナビゲーションメニューの [Security Credentials]
  3. 前のステップで選択したオプションに応じて、[Manage MFA] または [Activate MFA] を選択します。

  4. ウィザードで [A hardware MFA device] を選択してから [Next Step] を選択します。

  5. [Serial Number] ボックスに MFA デバイス背面に表示されているシリアルナンバーを入力します。

  6. [Authentication Code 1] に MFA デバイスに表示されている 6 桁の数字を入力します。デバイス前面のボタンを押して数字を表示する場合があります。

     IAM ダッシュボード、MFA デバイス
  7. デバイスがコードをリフレッシュするまで 30 秒ほど待ち、リフレッシュ後に表示された 6 桁の数字を [Authentication Code 2] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  8. [Next Step] を選択します。MFA デバイスと AWS アカウントの関連付けが完了しました。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

    次回 root user 認証情報を使ってサインインするときに、MFA デバイスのコードを入力する必要があります。

物理的な MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。