メニュー
AWS Identity and Access Management
ユーザーガイド

多要素認証(MFA)仮想デバイスの有効化

仮想 MFA デバイスとは、6 桁の認証コードを作成するソフトウェアアプリケーションで、RFC 6238 にある Time-Based One-Time Password(TOTP)標準に準拠しています。このアプリケーションは、スマートフォンを含め、モバイルハードウェアデバイス上で動作できます。また、ほとんどの仮想 MFA アプリケーションでは、複数の仮想 MFA デバイスを有効にすることができるので、ハードウェア MFA デバイスよりも便利に利用できます。ただし、仮想 MFA は、スマートフォンのように安全性が低いデバイスで稼働している場合があり、仮想 MFA はハードウェア MFA デバイスが提供するようなレベルのセキュリティを実装していない可能性がある点に留意してください。

AWS account root user または IAM ユーザー 1 人あたり 1 つの MFA デバイスのみ有効にすることができ、デバイスは指定されたユーザーのみが使用できます。一部の仮想 MFA ソフトウェア アプリケーションが複数のアカウントをサポートするように表示されますが、追加する各アカウントは、単一の仮想 MFA デバイスを表します。また、その単一の仮想デバイスを関連付けることができるのは 1 人のユーザーのみです。

スマートフォンおよびタブレット(Google Android、Apple iPhone および iPad、Windows Phone など)で使用できる仮想 MFA アプリの一覧については、http://aws.amazon.com/iam/details/mfa/ の「仮想 MFA アプリケーション」を参照してください。AWS では、6 桁の OTP を生成する仮想 MFA アプリが必要です。

AWS マネジメントコンソールから MFA デバイスを有効にして管理するには、次のステップに従います。コマンドラインで MFA デバイスを有効化および管理するか、API を使用する場合は、「仮想 MFA デバイスを有効にして管理する(AWS CLI、Tools for Windows PowerShell、または AWSAPI)」を参照してください。

重要

仮想 MFA デバイスが AWS と連携するように設定する場合、QR コードまたはシークレットキーのコピーを安全な場所に保存しておくことをお勧めします。そうすることで、何らかの理由で電話を紛失したり、MFA ソフトウェアアプリケーションを再インストールする必要が生じた場合、同じ仮想 MFA を使用するようにアプリケーションを再設定できます。これにより、ユーザーまたは root user のために AWS で新しい仮想 MFA を作成する必要がなくなります。

IAM ユーザーの仮想 MFA デバイスを有効にする (AWS マネジメントコンソール)

AWS マネジメントコンソールで IAM を使用して、アカウントの IAM ユーザーの仮想 MFA デバイスを有効にすることができます。

注記

MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。たとえば、スマートフォンで仮想 MFA デバイスを使用するユーザーの MFA を設定する場合、ウィザードを完了するには、そのスマートフォンが必要です。このため、ユーザーが自分の仮想 MFA デバイスを構成して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。この権限を付与する IAM ポリシーの詳細および例については、「ユーザーが自分の仮想 MFA デバイスのみを管理することを許可する」を参照してください。

ユーザーの仮想 MFA デバイスを有効にするには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. [User Name] リストから対象の MFA ユーザーの名前を選択します。

  4. [Security credentials] タブを選択します。[Assigned MFA device] の横にある編集アイコン ( )をクリックします。

  5. Manage MFA Device ウィザードで [A virtual MFA device] を選択してから [Next Step] を選択します。

    IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できる「シークレット設定キー」を示しています。

  6. 仮想 MFA アプリケーションを開きます。仮想 MFA デバイスをホストするために使用できるアプリのリストについては、「仮想 MFA アプリケーション」を参照してください。仮想 MFA アプリケーションが複数のアカウント(複数の仮想 MFA デバイス)をサポートしている場合は、新しいアカウント(新しい仮想 MFA デバイス)を作成するオプションを選択します。

  7. MFA アプリが QR コードをサポートしているかどうかを確認してから、次のいずれかを実行します。

    • QR コードをスキャンするアプリを使用します。たとえば、カメラアイコンまたは [Scan code] に似たオプションを選択し、デバイスのカメラを使用してコードをスキャンします。

    • [Manage MFA Device] ウィザードで [Show secret key for manual configuration] を選択し、MFA アプリケーションにシークレット設定キーを入力します。

    これで仮想 MFA デバイスはワンタイムパスワードの生成を開始します。

  8. [Manage MFA Device] ウィザードの [Authentication Code 1] ボックスに、現在仮想 MFA デバイスに表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます(最長 30 秒)。生成されたら [Authentication Code 2] ボックスに 2 つ目のワンタイムパススワードを入力します。[Active Virtual MFA] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

これで仮想 MFA デバイスを AWS で使用できます。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

お使いの AWS アカウントのルートユーザーの仮想 MFA デバイスを有効にする (Console)

AWS マネジメントコンソール で IAM を使用して、root user の仮想 MFA デバイスを設定して有効にすることができます。AWS アカウントの MFA デバイスを管理するには、root user 認証情報を使用して AWS にサインインしている必要があります。他の認証情報を使用して、root user の MFA デバイスを管理することはできません。

お客様の MFA デバイスが紛失、盗難にあった場合、または動作しない場合でも、認証の代替要因を使用してサインインすることができます。これを行うには、アカウントに登録されている E メールと電話を使用してお客様のアイデンティティを確認する必要があります。つまり、MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと電話を使用してアイデンティティを確認してサインインすることができます。root user の MFA を有効にする前に、アカウント設定と連絡先情報をチェックして、E メールと電話番号にアクセスできることを確認してください。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。この機能を無効にするには、AWS サポート に連絡してください。

root user で使用する仮想 MFA デバイスを設定し、有効にするには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 次のいずれかを行ってください。

    • オプション 1: [Dashboard] を選択し、[Security Status] の [Activate MFA on your root user] を展開します。

    • オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[Security Credentials] を選択します。必要に応じて、[Continue to Security Credentials] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

       ナビゲーションメニューの [Security Credentials]
  3. 前のステップで選択したオプションに応じて、[Manage MFA] または [Activate MFA] を選択します。

  4. ウィザードで [A virtual MFA device] を選択してから [Next Step] を選択します。

  5. 仮想 MFA アプリケーションがデバイスにインストールされていることを確認し、[Next Step] を選択します。IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できるシークレット設定キーを示しています。

  6. [Manage MFA Device] ウィザードが開いている状態で、仮想 MFA アプリケーションをデバイスで起動します。

  7. 仮想 MFA ソフトウェアが複数のアカウント (複数の仮想 MFA デバイス) をサポートしている場合は、新しいアカウント (新しい仮想 MFA デバイス) を作成するオプションを選択します。

  8. QR コードをスキャンするアプリケーションを使用してアプリケーションを設定するのが最も簡単な方法です。QR コードに対応していない場合には、設定情報を手入力します。

    • QR コードを使用して仮想 MFA デバイスを設定するには、アプリの指示に従ってコードをスキャンします。たとえば、カメラアイコンや、Scan account barcode のようなコマンドをタップし、デバイスのカメラを使用してコードを QR スキャンする場合があります。

    • コードをスキャンできない場合には、アプリケーションに Secret Configuration Key の値を入力して、設定情報を手動で入力します。例えば、AWS 仮想 MFA アプリケーションでこの設定を行うには [Manually add account] をタップし、シークレット設定キーを入力してから、[Create] をクリックします。

    重要

    QR コードまたはシークレット設定キーの安全なバックアップを作成するか、アカウント用の複数の仮想 MFA デバイスを有効にしていることを確認します。たとえば仮想 MFA デバイスがホストされているスマートフォンを紛失した場合などは、仮想 MFA デバイスが使用できなくなる可能性があります。その場合はアカウントにサインインできなくなり、カスタマー サービスに連絡してアカウントの MFA 保護を解除する必要があります。

    注記

    IAM によって生成された QR コードやシークレット設定キーはお客様の AWS アカウントに関連付けられており、別のアカウントでは使用できません。ただし、元の MFA デバイスが利用できなくなった場合に、これらの情報を再利用してアカウントの新しい MFA デバイスを設定できます。

    デバイスは 6 桁の数字の生成を開始します。

  9. [Manage MFA Device] ウィザードの [Authentication Code 1] ボックスに、MFA デバイスに表示されている 6 桁の数字を入力します。次にデバイスが新しい数字を生成するまで 30 秒ほど待ち、表示された新しい 6 桁の数字を [Authentication Code 2] ボックスに入力します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

  10. [Next Step] を選択し、さらに [Finish] を選択します。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

仮想 MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの仮想 MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。