AWS での多要素認証 (MFA) の使用

セキュリティを向上させるには、多要素認証（MFA）を設定して AWS リソースを保護することを推奨します。AWS アカウントのルートユーザー および IAM ユーザーでは、MFA を使用することができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。AWS アカウントのルートユーザー および IAM ユーザーに対し、現在サポートされている MFA タイプの任意の組み合わせで、最大 8 台の MFA デバイスを登録できます。サポートされる MFA タイプについては、「MFA とは」を参照してください。MFA デバイスを複数使用する場合でも、そのユーザとして AWS Management Console にログインしたり、AWS CLI を使用してセッションを作成したりするのに必要なのは、1 台の MFA デバイスだけです。

注記

人間のユーザーが AWS にアクセスする場合には、一時的な認証情報の使用を推奨します。AWS IAM Identity Center (successor to AWS Single Sign-On) の使用を検討したことのある場合 IAM Identity Center を使用すると、複数の AWS アカウント へのアクセスを一元的に管理できます。ユーザーには、割り当てられたすべてのアカウントに対する MFA で保護された Single Sign-On によるアクセスを、1 つの場所から提供することができます。IAM Identity Center では、 その内部でユーザー ID の作成および管理を行います。あるいは、既存の SAML 2.0 互換 ID プロバイダーにも簡単に接続することができます。詳細については、「AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイド」の「What is IAM Identity Center?」(IAM Identity Center とは?) を参照してください。

トピック

• MFA とは
• AWS でのユーザーの MFA デバイスの有効化
• MFA ステータスのチェック
• 仮想デバイスとハードウェア MFA デバイスの再同期
• MFA デバイスの無効化
• MFA デバイスの紛失および故障時の対応
• MFA 保護 API アクセスの設定
• サンプルコード: 多要素認証での認証情報のリクエスト

MFA とは

MFA では、さらなるセキュリティが追加されます。AWS ウェブサイトやサービスにアクセスするときに、ユーザーは、通常のログイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を求められるためです。

• FIDO セキュリティキー – FIDO 認定のハードウェアセキュリティキーが、サードパーティプロバイダーから提供されています。FIDO アライアンスでは、FIDO 仕様と互換性のあるすべての FIDO 認定製品のリストを公開しています。FIDO の認証標準は公開鍵暗号に基づいています。これにより、強力かつフィッシング耐性のある、パスワードの使用よりも安全な認証が可能になります。FIDO セキュリティキーでは、単一のセキュリティキーを使用して、複数のルートアカウントと IAM ユーザーをサポートしています。FIDO セキュリティキーの有効化の詳細については、「FIDO セキュリティキーの有効化 (コンソール)」を参照してください。

• 仮想 MFA デバイス – 電話やその他のデバイスで実行され、物理デバイスをエミュレートする、仮想認証機能アプリケーションです。仮想認証アプリは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムを実装しており、単一デバイスで複数のトークンをサポートします。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各仮想 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーの仮想 MFA デバイスからコードを入力して認証を受けることはできません。これらはセキュリティ保護されていないモバイルデバイス上で実行できるため、仮想 MFA から、FIDO デバイスと同レベルのセキュリティが提供されない場合があります。ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用できるサポートされるアプリケーションのリストについては、「多要素認証」を参照してください。AWS で仮想 MFA デバイスを設定する手順については、「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」を参照してください。

• ハードウェア TOTP トークン – タイムベースドワンタイムパスワード (TOTP) アルゴリズムに基づいて 6 桁の数値コードを生成するハードウェアデバイスです。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「多要素認証」を参照してください。AWS でハードウェア TOTP デバイスを設定する手順については、「ハードウェア TOTP トークンの有効化 (コンソール)」を参照してください。

  注記

  SMS テキストメッセージベース MFA – AWS では、SMS 多要素認証 (MFA) の有効化のサポートを終了しました。SMS テキストメッセージベース MFA を使用する IAM ユーザーのお客様は、別のいずれかの方法 (FIDO セキュリティキー、仮想 (ソフトウェアベースの) MFA デバイス、またはハードウェア MFA デバイス) に切り替えることをお勧めします。割り当てられた SMS MFA デバイスを使用して、アカウントのユーザーを識別することができます。これを行うには、IAM コンソールに移動して、ナビゲーションペインの [ユーザー] を選択し、テーブルの [MFA] 列の [SMS] を使用してユーザーを探します。