AWS での多要素認証 (MFA) の使用 - AWS Identity and Access Management
MFA とは

AWS での多要素認証 (MFA) の使用

セキュリティを向上させるには、多要素認証(MFA)を設定して AWS リソースを保護することを推奨します。AWS アカウントのルートユーザー および IAM ユーザーでは、MFA を使用することができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。AWS アカウントのルートユーザー および IAM ユーザーに対し、現在サポートされている MFA タイプの任意の組み合わせで、最大 8 台の MFA デバイスを登録できます。サポートされる MFA タイプについては、「MFA とは」を参照してください。MFA デバイスを複数使用する場合でも、そのユーザとして AWS Management Console にログインしたり、AWS CLI を使用してセッションを作成したりするのに必要なのは、1 台の MFA デバイスだけです。

注記

人間のユーザーが AWS にアクセスする際は、一時的な認証情報の使用を必須とすることをお勧めします。AWS IAM Identity Center の使用を検討したことのある場合 IAM Identity Center を使用すると、複数の AWS アカウント へのアクセスを一元的に管理できます。ユーザーには、割り当てられたすべてのアカウントに対する MFA で保護された Single Sign-On によるアクセスを、1 つの場所から提供することができます。IAM Identity Center では、 その内部でユーザー ID の作成および管理を行います。あるいは、既存の SAML 2.0 互換 ID プロバイダーにも簡単に接続することができます。詳細については、「AWS IAM Identity Center ユーザーガイド」の「What is IAM Identity Center?」(IAM Identity Center とは?) を参照してください。

MFA とは

MFA では、さらなるセキュリティが追加されます。ユーザーが AWS のウェブサイトやサービスにアクセスするときに、通常のサインイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を求められるためです。AWS は次の MFA タイプをサポートします。

FIDO セキュリティ

サードパーティプロバイダーから提供される FIDO 認定のハードウェアセキュリティキー。

FIDO 仕様と互換性のあるすべての FIDO 認定製品のリストが、FIDO アライアンスから提供されています。FIDO の認証標準は公開鍵暗号に基づいています。これにより、強力かつフィッシング耐性のある、パスワードの使用よりも安全な認証が可能になります。FIDO セキュリティキーでは、単一のセキュリティキーを使用して、複数のルートアカウントと IAM ユーザーをサポートしています。FIDO セキュリティキーの有効化の詳細については、「FIDO セキュリティキーの有効化 (コンソール)」を参照してください。

仮想 MFA デバイス

電話などのデバイスで実行され、物理デバイスをエミュレートする仮想認証機能アプリケーション。

仮想認証アプリは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムを実装しており、単一デバイスで複数のトークンをサポートします。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各仮想 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーの仮想 MFA デバイスからコードを入力して認証を受けることはできません。これらはセキュリティ保護されていないモバイルデバイス上で実行できるため、仮想 MFA から、FIDO デバイスと同レベルのセキュリティが提供されない場合があります。

ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用できるサポートされるアプリケーションのリストについては、「多要素認証」を参照してください。AWS で仮想 MFA デバイスを設定する手順については、「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」を参照してください。

ハードウェア TOTP トークン

タイムベースドワンタイムパスワード (TOTP) アルゴリズムに基づいて 6 桁の数値コードを生成するハードウェアデバイス。

サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「多要素認証」を参照してください。AWS でハードウェア TOTP デバイスを設定する手順については、「ハードウェア TOTP トークンの有効化 (コンソール)」を参照してください。

ハードウェア TOTP デバイスの代わりに FIDO セキュリティキーを使用することをお勧めします。FIDO セキュリティキーのメリットは、バッテリーが不要でフィッシング耐性があるという点です。さらには、セキュリティを強化するために、1 台のデバイスで複数の IAM ユーザーまたは ルートユーザーをサポートしています。

注記

SMS テキストメッセージベース MFA – AWS では、SMS 多要素認証 (MFA) の有効化のサポートを終了しました。SMS テキストメッセージベース MFA を使用する IAM ユーザーのお客様は、別のいずれかの方法 (FIDO セキュリティキー仮想 (ソフトウェアベースの) MFA デバイス、またはハードウェア MFA デバイス) に切り替えることをお勧めします。割り当てられた SMS MFA デバイスを使用して、アカウントのユーザーを識別することができます。これを行うには、IAM コンソールに移動して、ナビゲーションペインの [ユーザー] を選択し、テーブルの [MFA] 列の [SMS] を使用してユーザーを探します。

トピック