メニュー
AWS Identity and Access Management
ユーザーガイド

多要素認証(MFA)仮想デバイスの有効化

仮想 MFA デバイスとは、6 桁の認証コードを作成するソフトウェアアプリケーションで、RFC 6238 にある Time-Based One-Time Password(TOTP)標準に準拠しています。このアプリケーションは、スマートフォンを含め、モバイルハードウェアデバイス上で動作できます。また、ほとんどの仮想 MFA アプリケーションでは、複数の仮想 MFA デバイスを有効にすることができるので、ハードウェア MFA デバイスよりも便利に利用できます。しかしながら、仮想 MFA が稼働するデバイスはスマートフォンのような安全性の低く、またハードウェア MFA デバイスが提供するようなレベルのセキュリティを実装していない点に留意する必要があります。

AWS アカウントユーザーまたは IAM ユーザー1人あたりに有効にできる MFA デバイスは 1 つのみで、デバイスは指定されたユーザーのみが使用できます。一部の仮想 MFA ソフトウェアアプリケーションでは複数のアカウントがサポートされているようですが、追加する各アカウントは単一の仮想 MFA デバイスに対応しており、単一の仮想デバイスを関連付けることができるのは 1 つのアカウントまたはユーザーのみであることに留意ください。

スマートフォンおよびタブレット(Google Android、Apple iPhone および iPad、Windows Phone など)で使用できる仮想 MFA アプリの一覧については、http://aws.amazon.com/iam/details/mfa/ の「仮想 MFA アプリケーション」を参照してください。AWS では、6 桁の OTP を生成する仮想 MFA アプリが必要です。

AWS マネジメントコンソールから MFA デバイスを有効にして管理するには、次のステップに従います。コマンドラインで MFA デバイスを有効化および管理するか、API を使用する場合は、「仮想 MFA デバイスを有効にして管理する(AWS CLI、Tools for Windows PowerShell、または AWSAPI)」を参照してください。

重要

仮想 MFA デバイスが AWS と連携するように設定する場合、QR コードまたはシークレットキーのコピーを安全な場所に保存しておくことをお勧めします。こうすることで、電話を紛失した場合や、MFA ソフトウェアアプリケーションを何らかの理由で再インストールする必要がある場合に、同じ仮想 MFA を使用し、ユーザーまたはルートアカウントが新しい仮想 MFA AWS を作成する必要がないように、アプリケーションを再設定できます。

IAM ユーザーの仮想 MFA デバイスを有効にする(AWS マネジメントコンソール)

AWS マネジメントコンソールで IAM を使用して、アカウントの IAM ユーザーの仮想 MFA デバイスを有効にすることができます。

注記

MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。たとえば、スマートフォンで仮想 MFA デバイスを使用するユーザーの MFA を設定する場合、ウィザードを完了するには、そのスマートフォンが必要です。このため、ユーザーが自分の仮想 MFA デバイスを構成して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。この権限を付与する IAM ポリシーの詳細および例については、「ユーザーが自分の仮想 MFA デバイスのみを管理することを許可する」を参照してください。

ユーザーの仮想 MFA デバイスを有効にするには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users] を選択します。

  3. [User Name] リストから対象の MFA ユーザーの名前を選択します。

  4. [Security Credentials] タブを選択し、[Assigned MFA device] の横にある編集アイコン ( ) を選択します。

  5. Manage MFA Device ウィザードで [A virtual MFA device] を選択してから [Next Step] を選択します。

    IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できる「シークレット設定キー」を示しています。

  6. 仮想 MFA アプリケーションを開きます。仮想 MFA デバイスをホストするために使用できるアプリのリストについては、「仮想 MFA アプリケーション」を参照してください。仮想 MFA アプリケーションが複数のアカウント(複数の仮想 MFA デバイス)をサポートしている場合は、新しいアカウント(新しい仮想 MFA デバイス)を作成するオプションを選択します。

  7. MFA アプリが QR コードをサポートしているかどうかを確認してから、次のいずれかを実行します。

    • QR コードをスキャンするアプリを使用します。たとえば、カメラアイコンまたは [Scan code] に似たオプションを選択し、デバイスのカメラを使用してコードをスキャンします。

    • [Manage MFA Device] ウィザードで [Show secret key for manual configuration] を選択し、MFA アプリケーションにシークレット設定キーを入力します。

    これで仮想 MFA デバイスはワンタイムパスワードの生成を開始します。

  8. [Manage MFA Device] ウィザードの [Authentication Code 1] ボックスに、現在仮想 MFA デバイスに表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます(最長 30 秒)。生成されたら [Authentication Code 2] ボックスに 2 つ目のワンタイムパススワードを入力します。[Active Virtual MFA] を選択します。

これで仮想 MFA デバイスを AWS で使用できます。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

お使いの AWS ルートアカウント向けの仮想 MFA デバイスを有効にする(AWS マネジメントコンソール)

AWS マネジメントコンソールで IAM を使用して、仮想 MFA デバイスをお客様の AWS ルートアカウントで使用できるように設定し、有効化することができます。

重要

AWS アカウント向けに MFA デバイスを設定する場合には、ルートアカウントの認証情報を使って AWS にサインインしておく必要があります。他の認証情報を使用するルートアカウントを使って MFA の管理を行うことはできません。

注記

AWS アカウント (root ユーザー) で MFA を有効にし、同じメールアドレスを使用する関連付けられた Amazon.com アカウントでも MFA を有効にした場合、root ユーザーとしてサインインするときに必ず 2 つの異なる MFA コードを求めるプロンプトが表示されます。

ルートアカウントでの仮想 MFA デバイスの設定および有効化をするには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. 次のいずれかを行ってください。

    • オプション 1: [Dashboard] を選択し、[Security Status] の [Activate MFA on your root account] を展開します。

    • オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[Security Credentials] を選択します。必要に応じて、[Continue to Security Credentials] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

       ナビゲーションメニューの [Security Credentials]
  3. 前のステップで選択したオプションに応じて、[Manage MFA] または [Activate MFA] を選択します。

  4. ウィザードで [A virtual MFA device] を選択してから [Next Step] を選択します。

  5. 仮想 MFA アプリケーションがデバイスにインストールされていることを確認し、[Next Step] を選択します。IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できるシークレット設定キーを示しています。

  6. [Manage MFA Device] ウィザードが開いている状態で、仮想 MFA アプリケーションをデバイスで起動します。

  7. 仮想 MFA ソフトウェアが複数のアカウント (複数の仮想 MFA デバイス) をサポートしている場合は、新しいアカウント (新しい仮想 MFA デバイス) を作成するオプションを選択します。

  8. QR コードをスキャンするアプリケーションを使用してアプリケーションを設定するのが最も簡単な方法です。QR コードに対応していない場合には、設定情報を手入力します。

    • QR コードを使用して仮想 MFA デバイスを設定するには、アプリの指示に従ってコードをスキャンします。たとえば、カメラアイコンや、Scan account barcode のようなコマンドをタップし、デバイスのカメラを使用してコードを QR スキャンする場合があります。

    • コードをスキャンできない場合には、アプリケーションに Secret Configuration Key の値を入力して、設定情報を手動で入力します。例えば、AWS 仮想 MFA アプリケーションでこの設定を行うには [Manually add account] をタップし、シークレット設定キーを入力してから、[Create] をクリックします。

    重要

    QR コードまたはシークレット設定キーの安全なバックアップを作成するか、アカウント用の複数の仮想 MFA デバイスを有効にしていることを確認します。仮想 MFA デバイスを使用できなくなった(たとえば、仮想 MFA デバイスがホストされたスマートフォンを紛失した)場合、アカウントにサインインすることはできません。この場合、カスタマーサービスに連絡し、アカウントの MFA 保護を削除する必要があります。

    注記

    IAM によって生成された QR コードやシークレット設定キーはお客様の AWS アカウントに関連付けられており、別のアカウントでは使用できません。ただし、元の MFA デバイスが利用できなくなった場合に、これらの情報を再利用してアカウントの新しい MFA デバイスを設定できます。

    デバイスは 6 桁の数字の生成を開始します。

  9. [Manage MFA Device] ウィザードの [Authentication Code 1] ボックスに、MFA デバイスに表示されている 6 桁の数字を入力します。次にデバイスが新しい数字を生成するまで 30 秒ほど待ち、表示された新しい 6 桁の数字を [Authentication Code 2] ボックスに入力します。

  10. [Next Step] を選択し、さらに [Finish] を選択します。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

仮想 MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの仮想 MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。