AWS での多要素認証 (MFA) の使用 - AWS Identity and Access Management

AWS での多要素認証 (MFA) の使用

セキュリティを向上させるには、多要素認証(MFA)を設定して AWS リソースを保護することを推奨します。IAM ユーザーまたは AWS アカウント ルートユーザー に対して MFA を有効にすることができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。

MFA とは

MFA では、さらなるセキュリティが追加されます。AWS ウェブサイトやサービスにアクセスするときに、ユーザーは、通常のログイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を求められるためです。

  • 仮想 MFA デバイス。電話やその他のデバイスで動作し、物理デバイスをエミュレートするソフトウェアアプリケーション。このデバイスは、時間同期されるワンタイムパスワードアルゴリズムに基づいて 6 桁の数値コードを生成します。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各仮想 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーの仮想 MFA デバイスからコードを入力して認証することはできません。これらはセキュリティ保護されていないモバイルデバイス上で実行できるため、仮想 MFA は U2F デバイスまたはハードウェア MFA デバイスと同じレベルのセキュリティが適用されない場合があります。ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用できるサポートされるアプリケーションのリストについては、「多要素認証」を参照してください。AWS で仮想 MFA デバイスを設定する手順については、「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」を参照してください。

  • U2F セキュリティキー。コンピュータの USB ポートに接続するデバイス。U2F は、FIDO Alliance が運用するオープン認証規格です。U2F セキュリティキーを有効にすると、サインインするには、コードを手動で入力する代わりに、認証情報を入力してデバイスをタップする必要があります。AWS でサポートされている U2F セキュリティキーの詳細については、「多要素認証」を参照してください。AWS で U2F セキュリティキーを設定する手順については、「U2F セキュリティキーの有効化 (コンソール)」を参照してください。

  • ハードウェア MFA デバイス。このハードウェアデバイスは、時間同期されるワンタイムパスワードアルゴリズムに基づいて 6 桁の数値コードを生成します。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「多要素認証」を参照してください。AWS でハードウェア MFA デバイスを設定する手順については、「ハードウェア MFA デバイスの有効化 (Console)」を参照してください。

  • SMS テキストメッセージベース MFA。このタイプの MFA では、IAM ユーザー設定にそのユーザーの SMS 対応モバイルデバイスの電話番号が含まれます。ユーザーがサインインする際、AWS は 6 桁の数値コードを SMS テキストメッセージでユーザーのモバイルデバイスに送信します。ユーザーはサインイン中に 2 番目のウェブページでそのコードを入力する必要があります。SMS ベースの MFA は IAM ユーザーにのみ使用できます。このタイプの MFA を AWS アカウント ルートユーザーに使用することはできません。SMS のテキストメッセージベースの MFA を有効にする方法の詳細については、「プレビュー – SMS テキストメッセージ MFA デバイスの有効化」を参照してください。

    注記

    AWS は、間もなく SMS Multi-Factor Authentication (MFA) のサポートを終了します。新規のお客様が、この機能をプレビューすることはできません。既存のお客様は、MFA の別のいずれかの方法 (仮想 (ソフトウェアベースの) MFA デバイスU2F セキュリティキー、またはハードウェア MFA デバイス) に切り替えることをお勧めします。割り当てられた SMS MFA デバイスを使用して、アカウントのユーザーを表示することができます。これを行うには、IAM コンソールに移動して、ナビゲーションペインの [ユーザー] を選択し、テーブルの [MFA] 列の [SMS] を使用してユーザーを探します。

AWS MFA に関するよくある質問については、「AWS 多要素認証のよくある質問」を参照してください。