AWS Identity and Access Management
ユーザーガイド

AWS での多エレメント認証 (MFA) の使用

セキュリティを向上させるには、多要素認証 (MFA) を設定して AWS リソースを保護することを推奨します。

MFA とは

MFA では、さらなるセキュリティが追加されます。AWS ウェブサイトやサービスにアクセスするときに、ユーザーは、通常のログイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を求められるためです。

  • 仮想 MFA デバイス。電話やその他のモバイルデバイスで動作し、物理デバイスをエミュレートするソフトウェアアプリケーション。このデバイスは、時間同期されるワンタイムパスワードアルゴリズムに基づいて 6 桁の数値コードを生成します。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各仮想 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーの仮想 MFA デバイスからコードを入力して認証することはできません。仮想 MFA デバイスとして使用できるサポートされるアプリケーションのリストについては、「多要素認証」を参照してください。AWS で仮想 MFA デバイスを設定する手順については、「仮想多要素認証 (MFA) デバイスの有効化 (コンソール)」を参照してください。

  • U2F セキュリティキー。コンピュータの USB ポートに接続するデバイス。U2F は、FIDO Alliance が運用するオープン認証規格です。U2F セキュリティキーを有効にすると、サインインするには、コードを手動で入力する代わりに、認証情報を入力してデバイスをタップする必要があります。AWS でサポートされている U2F セキュリティキーの詳細については、「多要素認証」を参照してください。AWS で U2F セキュリティキーを設定する手順については、「U2F セキュリティキーの有効化 (コンソール)」を参照してください。

  • ハードウェア MFA デバイス。このハードウェアデバイスは、時間同期されるワンタイムパスワードアルゴリズムに基づいて 6 桁の数値コードを生成します。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「多要素認証」を参照してください。AWS でハードウェア MFA デバイスを設定する手順については、「ハードウェア MFA デバイスの有効化 (Console)」を参照してください。

  • SMS テキストメッセージベース MFA。このタイプの MFA では、IAM ユーザー設定にそのユーザーの SMS 対応モバイルデバイスの電話番号が含まれます。ユーザーがサインインする際、AWS は 6 桁の数値コードを SMS テキストメッセージでユーザーのモバイルデバイスに送信します。ユーザーはサインイン中に 2 番目のウェブページでそのコードを入力する必要があります。SMS ベースの MFA は IAM ユーザーにのみ使用できます。このタイプの MFA を AWS アカウントのルートユーザー に使用することはできません。SMS のテキストメッセージベースの MFA を有効にする方法の詳細については、「プレビュー – SMS テキストメッセージ MFA デバイスの有効化」を参照してください。

    注記

    AWS は、2019 年 2 月 1 日に SMS MFA のサポートを停止します。アカウントが既に SMS MFA プレビュープログラムに参加している場合は、この日付までこの機能を使い続けることができます。仮想 (ソフトウェアベース) MFA デバイスU2F セキュリティキー、またはハードウェア MFA デバイスを通じて MFA を使用することをお勧めします。

    ヒント

    割り当てられた SMS MFA デバイスを使用して、アカウントのユーザーを表示することができます。これを行うには、IAM コンソールに移動し、ナビゲーションペインの [ユーザー] を選択し、テーブルの [MFA] 列の [SMS] を使用してユーザーを探します。

注記

AWS アカウントのルートユーザー の MFA を有効にすると、ルートユーザー 認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。

AWS MFA に関するよくある質問については、「AWS 多要素認証のよくある質問」を参照してください。

このページの内容: