IAM のサインインページでの MFA デバイスの使用 - AWS Identity and Access Management

IAM のサインインページでの MFA デバイスの使用

多要素認証 (MFA) デバイスで構成されているユーザーは、MFA デバイスを使用して AWS Management Console にサインインする必要があります。ユーザーがサインイン認証情報を入力した後、AWS はそのユーザーのアカウントを調べ、そのユーザーに MFA が必要かどうかを確認します。以下のセクションでは、MFA が必要なときにユーザーがサインインを完了する方法について説明します。

複数の MFA デバイスが有効化された状態でログインする

ユーザーが AWS アカウント で複数の MFA デバイスを有効にした状態で、そのアカウントのルートユーザーまたは IAM ユーザーとして AWS Management Console にログインする場合でも、サインインに必要な MFA デバイスは 1 台のみです。パスワードによる認証を行ったユーザーは、使用する MFA デバイスタイプを選択し認証を完了します。その後、ユーザーは、選択したタイプのデバイスを使用した認証を求められます。

FIDO セキュリティキーでのサインイン

MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。ユーザーは FIDO セキュリティキーをタップする必要があります。

注記

Google Chrome をお使いの方は、[Verify your identity with amazon.com] (amazon.comで本人確認をしてください) と要求するポップアップが表示されますが、いずれのオプションも選択しないようにしてください。セキュリティキーをタップするだけでよいのです。

他の MFA デバイスとは異なり、FIDO のセキュリティキーは同期しなくなります。管理者は、FIDO セキュリティキーを紛失したり壊れたりした場合、そのキーを無効にすることができます。詳細については、「MFA デバイスの無効化 (コンソール)」を参照してください。

WebAuthn をサポートするブラウザーおよび、AWS がサポートする FIDO 対応デバイスについては、「FIDO セキュリティキーを使用するためのサポートされる設定」を参照してください。

仮想 MFA デバイスでのサインイン

MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。[MFA code (MFA コード)] ボックスに、ユーザーは MFA アプリケーションから提供される数値コードを入力する必要があります。

MFA コードが正しい場合、ユーザーは AWS Management Console にアクセスできます。このコードが間違っていると、ユーザーは別のコードで再試行できます。

仮想 MFA デバイスが同期しなくなることがあります。ユーザーが AWS Management Console へのサインインを何度か試みて失敗した場合、仮想 MFA デバイスを同期するよう求められます。ユーザーは画面の指示に従って仮想 MFA デバイスを同期できます。お客様の AWS アカウント のユーザーに代わってデバイスを同期する方法については、「仮想デバイスとハードウェア MFA デバイスの再同期」を参照してください。

ハードウェア TOTP トークンを使用したサインイン

MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。ユーザーは、[MFA code] (MFA コード) ボックスに、ハードウェア TOTP トークンから提供される数値コードを入力する必要があります。

MFA コードが正しい場合、ユーザーは AWS Management Console にアクセスできます。このコードが間違っていると、ユーザーは別のコードで再試行できます。

ハードウェア TOTP トークンは、同期から外れることはありません。AWS Management Console へのサインインが、複数回連続して失敗したユーザーに対しては、MFA トークンデバイスと同期するように求められます。ユーザーは画面の指示に従って MFA トークンデバイスを同期できます。お客様の AWS アカウント のユーザーに代わってデバイスを同期する方法については、「仮想デバイスとハードウェア MFA デバイスの再同期」を参照してください。