メニュー
AWS Identity and Access Management
ユーザーガイド

ハードウェア MFA デバイスの有効化(AWS マネジメントコンソール)

ハードウェア MFA デバイスは、コマンドラインの AWS マネジメントコンソール から、または IAM API から有効にできます。AWS アカウント内のユーザー向けに AWS マネジメントコンソールを使ってこのデバイスを有効化する方法は、以下のとおりです。AWS アカウントのルートユーザーの MFA デバイス設定については、「AWS アカウント root ユーザー用にハードウェア MFA デバイスを有効にする (AWS マネジメントコンソール)」を参照してください。

ルートユーザーまたは IAM ユーザーごとに、(任意の種類の) 1 つの MFA デバイスを有効にできます。

注記

コマンドラインからデバイスを有効化する場合には、 aws iam enable-mfa-device を使用します。IAM API で MFA デバイスを有効化する場合には、EnableMFADevice アクションを使用します。

IAM ユーザーのハードウェア MFA デバイスを有効にする (AWS マネジメントコンソール)

AWS マネジメントコンソール からハードウェア MFA デバイスを有効にできます。

AWS マネジメントコンソールを使用して IAM ユーザーのハードウェア MFA デバイスを有効化するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. MFA を有効にする対象のユーザー名を選択し、[Security credentials] タブを選択します。

  4. [Assigned MFA device] の横にある鉛筆アイコン ( )をクリックします。

  5. Manage MFA Device ウィザードで [A hardware MFA device] を選択してから [Next Step] を選択します。

  6. 対象デバイスのシリアルナンバーを入力します。シリアルナンバーは、通常、デバイスの背面にあります。

  7. [Authentication Code 1] に MFA デバイスに表示されている 6 桁の数字を入力します。デバイス前面のボタンを押して数字を表示する場合があります。

     IAM ダッシュボード、MFA デバイス
  8. デバイスがコードをリフレッシュするまで 30 秒ほど待ち、リフレッシュ後に表示された 6 桁の数字を [Authentication Code 2] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  9. [Next Step] を選択します。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、IAM のサインインページでの MFA デバイスの使用を参照してください。

AWS アカウント root ユーザー用にハードウェア MFA デバイスを有効にする (AWS マネジメントコンソール)

ルートユーザーの MFA デバイスは、AWS マネジメントコンソール でのみ管理できます。

AWS マネジメントコンソール を使用して、ルートユーザーの MFA デバイスを有効化するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

    重要

    AWS アカウントの MFA デバイスを設定するには、ルートユーザーの認証情報を使用して AWS にサインインしておく必要があります。他の認証情報を使用してサインインした状態で、ルートユーザーの MFA デバイスを管理することはできません。

    注記

    AWS アカウント (root ユーザー) で MFA を有効にし、同じメールアドレスを使用する関連付けられた Amazon.com アカウントでも MFA を有効にした場合、root ユーザーとしてサインインするときに必ず 2 つの異なる MFA コードを求めるプロンプトが表示されます。

  2. 次のいずれかを行ってください。

    • オプション 1: [Dashboard] を選択し、[Security Status] の [Activate MFA on your root account] を展開します。

    • オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[Security Credentials] を選択します。必要に応じて、[Continue to Security Credentials] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

       ナビゲーションメニューの [Security Credentials]
  3. 前のステップで選択したオプションに応じて、[Manage MFA] または [Activate MFA] を選択します。

  4. ウィザードで [A hardware MFA device] を選択してから [Next Step] を選択します。

  5. [Serial Number] ボックスに MFA デバイス背面に表示されているシリアルナンバーを入力します。

  6. [Authentication Code 1] に MFA デバイスに表示されている 6 桁の数字を入力します。デバイス前面のボタンを押して数字を表示する場合があります。

     IAM ダッシュボード、MFA デバイス
  7. デバイスがコードをリフレッシュするまで 30 秒ほど待ち、リフレッシュ後に表示された 6 桁の数字を [Authentication Code 2] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  8. [Next Step] を選択します。MFA デバイスと AWS アカウントの関連付けが完了しました。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

    次回ルートユーザーの認証情報を使ってサインインをしようとすると、MFA デバイスにコードを入力するように求められます。

物理的な MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。