AWS での多要素認証 (MFA) の使用 - AWS Identity and Access Management

AWS での多要素認証 (MFA) の使用

セキュリティを向上させるには、多要素認証(MFA)を設定して AWS リソースを保護することを推奨します。IAM ユーザーまたは AWS アカウント ルートユーザー に対して MFA を有効にすることができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。

注記

AWS IAM Identity Center (successor to AWS Single Sign-On) (IAM Identity Center) の使用を検討されましたか? IAM Identity Center を使用して、AWS アカウント への複数のアクセスを一元管理し、ユーザーに、MFA で保護されたすべての割り当てられたアカウントへの Single Sign-On アクセスを 1 か所から提供することができます。IAM Identity Center を使用して、IAM Identity Center でユーザー ID の作成および管理を行え、また既存の SAML 2.0 互換 ID プロバイダーに簡単に接続することができます。詳細については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドの「IAM Identity Center とは何か」を参照してください。

MFA とは

MFA では、さらなるセキュリティが追加されます。AWS ウェブサイトやサービスにアクセスするときに、ユーザーは、通常のログイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を求められるためです。

  • 仮想 MFA デバイス。電話やその他のデバイスで動作し、物理デバイスをエミュレートするソフトウェアアプリケーション。このデバイスは、時間同期されるワンタイムパスワードアルゴリズムに基づいて 6 桁の数値コードを生成します。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各仮想 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーの仮想 MFA デバイスからコードを入力して認証することはできません。これらはセキュリティ保護されていないモバイルデバイス上で実行できるため、仮想 MFA は FIDO2 デバイスまたはハードウェア MFA デバイスと同じレベルのセキュリティが適用されない場合があります。ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用できるサポートされるアプリケーションのリストについては、「多要素認証」を参照してください。AWS で仮想 MFA デバイスを設定する手順については、「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」を参照してください。

  • FIDO セキュリティキー。コンピュータの USB ポートに接続するデバイス。FIDO2 は、FIDO Alliance が運用するオープン認証規格です。FIDO2 セキュリティキーを有効にすると、サインインするには、コードを手動で入力する代わりに、認証情報を入力してデバイスをタップする必要があります。AWS でサポートされている FIDO2 セキュリティキーの詳細については、「多要素認証」を参照してください。AWS で FIDO2 セキュリティキーを設定する手順については、「FIDO セキュリティキーの有効化 (コンソール)」を参照してください。

  • ハードウェア MFA デバイス。このハードウェアデバイスは、時間同期されるワンタイムパスワードアルゴリズムに基づいて 6 桁の数値コードを生成します。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「多要素認証」を参照してください。AWS でハードウェア MFA デバイスを設定する手順については、「ハードウェア MFA デバイスの有効化 (Console)」を参照してください。

    注記

    SMS テキストメッセージベース MFA。AWS は、間もなく SMS 多要素認証 (MFA) のサポートを終了します。SMS テキストメッセージベース MFA を使用する IAM ユーザーのお客様は、以下の別のいずれかの方法 (仮想 (ソフトウェアベースの) MFA デバイスFIDO セキュリティキー、またはハードウェア MFA デバイス) に切り替えることをお勧めします。割り当てられた SMS MFA デバイスを使用して、アカウントのユーザーを識別することができます。これを行うには、IAM コンソールに移動して、ナビゲーションペインの [ユーザー] を選択し、テーブルの [MFA] 列の [SMS] を使用してユーザーを探します。