IAM の AWS 多要素認証 - AWS Identity and Access Management
MFA タイプMFA 奨励事項追加リソース

IAM の AWS 多要素認証

セキュリティを向上させるには、多要素認証(MFA)を設定して AWS リソースを保護することを推奨します。スタンドアロンアカウント、管理アカウント、メンバーアカウントを含むすべての AWS アカウント の AWS アカウントのルートユーザー と、IAM ユーザーに対して MFA を有効にできます。

MFA は、ルートユーザーのすべてのアカウントタイプに適用されます。詳細については、「AWS Organizations アカウントのルートユーザーの認証情報です。」を参照してください。

ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。ルートユーザーを保護するための MFA の使用の詳細については、「AWS アカウントのルートユーザー の多要素認証」を参照してください。

AWS アカウントのルートユーザー と IAM ユーザーは、任意のタイプの MFA デバイスを最大 8 台登録できます。複数の MFA デバイスを登録すると、柔軟性をもたせることができ、1 つのデバイスが紛失または損傷した場合にアクセスが中断するリスクを軽減できるようになります。AWS Management Consoleにログインしたり、AWS CLI を使用してセッションを確立したりするには、MFA デバイスが 1 台あれば十分です。

注記

人間のユーザーが AWS にアクセスする際は、一時的な認証情報の使用を必須とすることをお勧めします。AWS IAM Identity Center の使用を検討したことのある場合 IAM Identity Center を使用すると、複数の AWS アカウント へのアクセスを一元的に管理できます。ユーザーには、割り当てられたすべてのアカウントに対する MFA で保護された Single Sign-On によるアクセスを、1 つの場所から提供することができます。IAM Identity Center では、 その内部でユーザー ID の作成および管理を行います。あるいは、既存の SAML 2.0 互換 ID プロバイダーにも簡単に接続することができます。詳細については、「AWS IAM Identity Center ユーザーガイド」の「What is IAM Identity Center?」(IAM Identity Center とは?) を参照してください。

MFA は、ユーザーが AWS のウェブサイトやサービスにアクセスするときに、サインイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を要求することでセキュリティを強化します。

MFA タイプ

AWS は、次の MFA タイプをサポートしています。

パスキーとセキュリティキー

AWS Identity and Access Management は MFA のパスキーとセキュリティキーをサポートします。FIDO 標準に基づいて、パスキーではパブリックキー暗号化が使用され、パスワードよりも安全性の高い、強力でフィッシング耐性のある認証が提供されます。AWS は、デバイスバインドパスキー (セキュリティキー) と同期パスキーの 2 種類のパスキーをサポートしています。

  • セキュリティキー: これらは YubiKey などの物理デバイスで、認証の 2 番目の要素として使用されます。1 つのセキュリティキーで、複数のルートユーザーアカウントと IAM ユーザーをサポートできます。

  • 同期パスキー: これらは、Google、Apple、Microsoft アカウントなどのプロバイダーの認証情報マネージャー、および 1Password、Dashlane、Bitwarden などのサードパーティーサービスを 2 番目の要素として使用します。

Apple MacBook の Touch ID などの組み込みの生体認証機能を使用して、認証情報マネージャーのロックを解除し、AWS にサインインできます。パスキーは、指紋、顔、またはデバイス PIN を使用して、選択したプロバイダーで作成されます。デバイス間でパスキーを同期することで、AWS へのサインインが容易になり、使いやすさと回復性が向上します。

IAM は Windows Hello のローカルパスキー登録をサポートしていません。パスキーを作成して使用するためには、Windows ユーザーはクロスデバイス認証 (CDA) を使用する必要があります。モバイルデバイスやハードウェアセキュリティキーといったデバイスから CDA パスキーを使用して、ラップトップなどの別のデバイスにサインインできます。

FIDO 仕様と互換性のあるすべての FIDO 認定製品のリストが、FIDO アライアンスから提供されています。

パスキーとセキュリティキーの有効化の詳細については、「ルートユーザーのパスキーまたはセキュリティキーを有効にする (コンソール)」を参照してください。

仮想認証アプリケーション

仮想認証アプリケーションは、電話やその他のデバイスで実行され、物理デバイスをエミュレートします。仮想認証アプリは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムを実装しており、単一デバイスで複数のトークンをサポートします。ユーザーは、サインイン中にプロンプトが表示されたら、デバイスから有効なコードを入力する必要があります。ユーザーに割り当てられた各トークンは一意であることが必要です。ユーザーは、別のユーザーのトークンからコードを入力して認証を受けることはできません。

ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用可能なサポートされているアプリケーションのリストについては、「多要素認証 (MFA)」を参照してください。

IAM ユーザーの仮想 MFA デバイスを設定する手順については、「AWS Management Consoleで仮想 MFA デバイスを割り当てる」を参照してください。

注記

AWS アカウント で割り当てられていない仮想 MFA デバイスは、AWS Management Console 経由で、またはサインインプロセス中に新しい仮想 MFA デバイスを追加すると削除されます。未割り当ての仮想 MFA デバイスとは、お客様のアカウントにあるデバイスですが、アカウントのルートユーザーまたは IAM ユーザーがサインインプロセスで使用されません。これらは削除されるため、新しい仮想 MFA デバイスをアカウントに追加できます。また、デバイス名を再利用することもできます。

  • アカウント内の未割り当ての仮想 MFA デバイスを表示するには、list-virtual-mfa-devices AWS CLI コマンドまたは API コールを使用できます。

  • 仮想 MFA デバイスを非アクティブ化するには、deactivate-mfa-device AWS CLI コマンドまたは API コールを使用できます。このデバイスは未割り当てになります。

  • 未割り当ての仮想 MFA デバイスを AWS アカウント ルートユーザーまたは IAM ユーザーにアタッチするには、enable-mfa-device AWS CLI コマンドまたは API コールとともに、デバイスが生成した認証コードが必要となります。

ハードウェア TOTP トークン

ハードウェアデバイスでは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムに基づいて 6 桁の数値コードが生成されます。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。

これらのトークンは AWS アカウント でのみ使用されます。AWS とセキュアに共有された一意のトークンシードを持つトークンのみを使用できます。トークンシードは、トークンの生成時に生成されるシークレットキーです。他のソースから購入したトークンは、IAM では機能しません。互換性を確保するには、OTP トークンまたは OTP ディスプレイカードのいずれかのリンクからハードウェア MFA デバイスを購入する必要があります。

  • ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「多要素認証 (MFA)」を参照してください。

  • 物理 MFA デバイスを使用する場合は、ハードウェア TOTP デバイスの代わりにセキュリティキーを使用することをお勧めします。セキュリティキーは、バッテリー要件がなく、フィッシングへの耐性があり、1 つのデバイスで複数のユーザーをサポートします。

パスキーまたはセキュリティ キーは、AWS CLI または AWS API からではなく、AWS Management Console からのみ有効にできます。セキュリティキーを有効にするには、そのデバイスに物理的にアクセスできる必要があります。

IAM ユーザーのハードウェア TOTP トークンを設定する手順については、「AWS Management Consoleでハードウェア TOTP トークンを割り当てる」を参照してください。

注記

AWS は、SMS テキストメッセージベースの MFA において、SMS 多要素認証 (MFA) のサポートを終了します。SMS テキストメッセージベースの MFA を使用する IAM ユーザーを抱えているお客様は、別のいずれかの方法 (パスキーまたはセキュリティキー仮想 (ソフトウェアベースの) MFA デバイス、またはハードウェア MFA デバイス) に切り替えることをお勧めします。割り当てられた SMS MFA デバイスを使用して、アカウントのユーザーを識別することができます。これを行うには、IAM コンソールに移動して、ナビゲーションペインの [ユーザー] を選択し、テーブルの [MFA] 列の [SMS] を使用してユーザーを探します。

MFA 奨励事項

AWS ID を保護するには、MFA 認証に関する以下の推奨事項に従ってください。

  • AWS アカウント 内の AWS アカウントのルートユーザー と IAM ユーザーに対しては、複数の MFA デバイスを有効にすることをお勧めします。これにより、AWS アカウント のセキュリティレベルを引き上げ、AWS アカウントのルートユーザー などの権限の高いユーザーに対するアクセスの管理を簡素化できます。

  • AWS アカウントのルートユーザー および IAM ユーザーに対し、「現在サポートされている MFA タイプ」の任意の組み合わせで、最大 8 台の MFA デバイスを登録できます。MFA デバイスが複数ある場合でも、そのユーザとして AWS Management Console にログインしたり、AWS CLI を使用してセッションを作成したりするのに必要なのは、1 台の MFA デバイスだけです。IAM ユーザーは既存の MFA デバイスで認証して、追加の MFA デバイスを有効または無効にする必要があります。

  • MFA デバイスが紛失、盗難、またはアクセス不能になった場合は、残りの MFA デバイスのいずれかを使用して、AWS アカウント での回復手順を実行することなく AWS アカウント にアクセスできます。MFA デバイスが紛失または盗難に遭った場合は、関連付けられている IAM プリンシパルからそのデバイスを切り離してください。

  • 複数の MFA を使用すると、地理的に離れた場所にいる従業員やリモートで作業している従業員は、ハードウェアベースの MFA 使用して AWS にアクセスできます。ハードウェアデバイスを 1 台送付したり、1 台のハードウェアデバイスを従業員間で物理的に交換したりする必要はありません。

  • IAM プリンシパルに追加の MFA デバイスを使用すると、1 つ以上の MFA を日常的に使用できると同時に、物理 MFA デバイスをボールドなどの安全な物理的な場所に保存したり、バックアップや冗長性を確保したりできます。

メモ

  • FIDO セキュリティキーの MFA 情報を AWS STS API オペレーションに渡して一時的認証情報をリクエストすることはできません。

  • AWS CLI コマンドまたは AWS API 操作を使用して FIDO セキュリティキーを有効にすることはできません。

  • 複数のルートユーザーまたは IAM MFA デバイスに同じ名前を使用することはできません。

追加リソース

MFA の詳細については、次のリソースを参照してください。

  • MFA を使用して AWS にアクセスする方法の詳細については、「MFA 対応のサインイン」を参照してください。

  • IAM アイデンティティセンターを活用して、AWS アクセスポータル、IAM アイデンティティセンター統合アプリケーション、AWS CLI への安全な MFA アクセスを有効にすることができます。詳細については、「IAM アイデンティティセンターで MFA を有効化する」を参照してください。