AWS での多要素認証 (MFA) の使用 - AWS Identity and Access Management
使用可能な MFA タイプ

AWS での多要素認証 (MFA) の使用

セキュリティを向上させるには、多要素認証(MFA)を設定して AWS リソースを保護することを推奨します。AWS アカウントのルートユーザー および IAM ユーザーでは、MFA を使用することができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。

AWS アカウントのルートユーザー および IAM ユーザーに対し、現在サポートされている MFA タイプの任意の組み合わせで、最大 8 台の MFA デバイスを登録できます。サポートされる MFA タイプについては、「IAM ユーザーが利用可能な MFA タイプ」を参照してください。MFA デバイスを複数使用する場合でも、そのユーザとして AWS Management Console にログインしたり、AWS CLI を使用してセッションを作成したりするのに必要なのは、1 台の MFA デバイスだけです。

注記

人間のユーザーが AWS にアクセスする際は、一時的な認証情報の使用を必須とすることをお勧めします。AWS IAM Identity Center の使用を検討したことのある場合 IAM Identity Center を使用すると、複数の AWS アカウント へのアクセスを一元的に管理できます。ユーザーには、割り当てられたすべてのアカウントに対する MFA で保護された Single Sign-On によるアクセスを、1 つの場所から提供することができます。IAM Identity Center では、 その内部でユーザー ID の作成および管理を行います。あるいは、既存の SAML 2.0 互換 ID プロバイダーにも簡単に接続することができます。詳細については、「AWS IAM Identity Center ユーザーガイド」の「What is IAM Identity Center?」(IAM Identity Center とは?) を参照してください。

IAM ユーザーが利用可能な MFA タイプ

MFA では、さらなるセキュリティが追加されます。ユーザーが AWS のウェブサイトやサービスにアクセスするときに、通常のサインイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証を求められるためです。AWS がサポートする MFA タイプは、パスキーとセキュリティキー、仮想認証機能アプリケーション、およびハードウェア TOTP トークンです。

パスキーとセキュリティキー

AWS Identity and Access Management は MFA のパスキーとセキュリティキーをサポートします。FIDO 標準に基づいて、パスキーではパブリックキー暗号化が使用され、パスワードよりも安全性の高い、強力でフィッシング耐性のある認証が提供されます。AWS は、デバイスバインドパスキー (セキュリティキー) と同期パスキーの 2 種類のパスキーをサポートしています。

  • セキュリティキー: これらは YubiKey などの物理デバイスで、認証の 2 番目の要素として使用されます。

  • 同期パスキー: これらは、Google、Apple、Microsoft アカウントなどのプロバイダーの認証情報マネージャー、および 1Password、Dashlane、Bitwarden などのサードパーティーサービスを 2 番目の要素として使用します。

Apple MacBooks の Touch ID や PC の Windows Hello 顔認識などの組み込みの生体認証機能を使用して、認証情報マネージャーのロックを解除し、AWS にサインインできます。パスキーは、指紋、顔、またはデバイス PIN を使用して、選択したプロバイダーで作成されます。デバイス間でパスキーを同期することで、AWS へのサインインが容易になり、使いやすさと回復性が向上します。

FIDO 仕様と互換性のあるすべての FIDO 認定製品のリストが、FIDO アライアンスから提供されています。1 つのパスキーまたはセキュリティキーで、複数のルートユーザーアカウントと IAM ユーザーをサポートします。IAM ユーザーのパスキーとセキュリティキーの有効化の詳細については、「パスキーまたはセキュリティキーの有効化 (コンソール)」を参照してください。

仮想認証アプリケーション

仮想認証アプリケーションは、電話やその他のデバイスで実行され、物理デバイスをエミュレートします。仮想認証アプリは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムを実装しており、単一デバイスで複数のトークンをサポートします。ユーザーは、サインイン中にプロンプトが表示されたら、デバイスから有効なコードを入力する必要があります。ユーザーに割り当てられた各トークンは一意であることが必要です。ユーザーは、別のユーザーのトークンからコードを入力して認証を受けることはできません。

ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用可能なサポートされているアプリケーションのリストについては、「多要素認証 (MFA)」を参照してください。IAM ユーザーの仮想 MFA デバイスを設定する手順については、「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」を参照してください。

ハードウェア TOTP トークン

ハードウェアデバイスでは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムに基づいて 6 桁の数値コードが生成されます。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「多要素認証 (MFA)」を参照してください。IAM ユーザーのハードウェア TOTP トークンを設定する手順については、「ハードウェア TOTP トークンの有効化 (コンソール)」を参照してください。

物理 MFA デバイスを使用する場合は、ハードウェア TOTP デバイスの代わりにセキュリティキーを使用することをお勧めします。セキュリティキーのメリットは、バッテリーが不要でフィッシング耐性があるという点です。さらに、セキュリティを強化するために、1 台のデバイスで複数のルートユーザーまたは IAM ユーザーをサポートしています。

注記

SMS テキストメッセージベース MFA – AWS では、SMS 多要素認証 (MFA) の有効化のサポートを終了しました。SMS テキストメッセージベースの MFA を使用する IAM ユーザーを抱えているお客様は、別のいずれかの方法 (パスキーまたはセキュリティキー仮想 (ソフトウェアベースの) MFA デバイス、またはハードウェア MFA デバイス) に切り替えることをお勧めします。割り当てられた SMS MFA デバイスを使用して、アカウントのユーザーを識別することができます。これを行うには、IAM コンソールに移動して、ナビゲーションペインの [ユーザー] を選択し、テーブルの [MFA] 列の [SMS] を使用してユーザーを探します。

トピック