AWS でのユーザーの MFA デバイスの有効化

MFA を設定する手順は、使用している MFA デバイスのタイプによって異なります。

トピック

• MFA デバイスを有効にするための一般的な手順
• 仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)
• FIDO セキュリティキーの有効化 (コンソール)
• ハードウェア TOTP トークンの有効化 (コンソール)
• 仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API)

MFA デバイスを有効にするための一般的な手順

MFA をセットアップして使用するための手順の概要および関連する情報へのリンクは、以下のとおりです。

注意

この英語のビデオも見ることができますが、「AWS 多要素認証 (MFA) と AWS 予算アラートの設定方法」を参照してください。

1. 以下のいずれかの MFA デバイスを入手します。以下のタイプでの任意の組み合わせについて、AWS アカウントのルートユーザー または IAM ユーザーあたり、最大 8 台の MFA デバイスを有効にできます。

   • 仮想 MFA デバイス。これは、標準ベースの TOTP (時刻ベースのワンタイムパスワード) アルゴリズムである RFC 6238 に準拠するソフトウェアアプリです。アプリは、電話や他のデバイスにインストールできます。仮想 MFA デバイスとして使用できるサポートされるアプリケーションのリストについては、「多要素認証」を参照してください。

   • AWS でサポートされている構成の FIDO セキュリティキー。FIDO 仕様と互換性のあるすべての FIDO 認定製品のリストが、FIDO アライアンスから提供されています。

   • サードパーティプロバイダー提供の、ハードウェアベースの MFA デバイス (トークンデバイスなど)。これらのトークンは AWS アカウント でのみ使用されます。詳細については、「ハードウェア TOTP トークンの有効化 (コンソール)」を参照してください。これらのトークンは、キーフォブまたはディスプレイカードデバイスとしてメーカーから直接購入できます。

2. MFA デバイスを有効にします。

   • 仮想もしくはハードウェア TOTP トークン – IAM ユーザーの仮想 MFA デバイスは、AWS CLI コマンドまたは AWS API オペレーションを使用して有効化できます。AWS CLI、AWS API、Tools for Windows PowerShell、またはその他のコマンドラインツールを使用して AWS アカウントのルートユーザー の MFA デバイスを有効にすることはできません。ただし、AWS Management Console を使用して、ルートユーザーの MFA デバイスを有効化することができます。

   • FIDO セキュリティキー – ルートユーザーと FIDO セキュリティキーを持つ IAM ユーザーは、AWS CLI または AWS API からではなく、AWS Management Console からのみ有効化が行えます。

   各タイプの MFA デバイスを有効にする方法の詳細については、以下のページを参照してください。

   • 仮想 MFA デバイス: 仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)

   • FIDO セキュリティキー: FIDO セキュリティキーの有効化 (コンソール)

   • ハードウェア TOTP トークン: ハードウェア TOTP トークンの有効化 (コンソール)

3. 複数の MFA デバイスを有効にする (推奨)

   • AWS アカウント 内の AWS アカウントのルートユーザー と IAM ユーザーに対しては、複数の MFA デバイスを有効にすることをお勧めします。これにより、AWS アカウント のセキュリティレベルを引き上げ、AWS アカウントのルートユーザー などの権限の高いユーザーに対するアクセスの管理を簡素化できます。

   • AWS アカウントのルートユーザー および IAM ユーザーに対し、「現在サポートされている MFA タイプ」の任意の組み合わせで、最大 8 台の MFA デバイスを登録できます。MFA デバイスが複数ある場合でも、そのユーザとして AWS Management Console にログインしたり、AWS CLI を使用してセッションを作成したりするのに必要なのは、1 台の MFA デバイスだけです。

   • MFA デバイスが紛失、盗難、またはアクセス不能になった場合は、残りの MFA デバイスのいずれかを使用して、AWS アカウント での回復手順を実行することなく AWS アカウント にアクセスできます。MFA デバイスが紛失または盗難に遭った場合は、そのデバイスを、関連付けられた可能性のあるすべての IAM ユーザーから切り離すのがベストプラクティスです。

   • 地理的に離れた場所にいる従業員やリモートで作業している従業員については、ハードウェアベースの MFA により AWS へのアクセスを許可します。ハードウェアデバイスを 1 台送付したり、1 台のハードウェアデバイスを従業員間で物理的に交換したりする必要はありません。

   • 何らかの理由で 1 つの MFA デバイスの所有者が不在の場合は、IAM ユーザーに関連付けられた別の MFA デバイスを使用して、AWS ユーザーへのアクセスを維持します。

   • AWS アカウントのルートユーザー や IAM ユーザーに関連付けられた追加の MFA デバイスを、保管庫や金庫などの安全な物理的場所に保持し、同時に他の MFA デバイスへの物理的なアクセスは維持することで冗長性を確保します。

4. ログインするか、または AWS リソースにアクセスする場合には、MFA デバイスを使用します。次の点に注意してください。

   • FIDO セキュリティキー – AWS のウェブサイトにアクセスするには、認証情報を入力してから、求められた FIDO セキュリティキーをタップします。

   • 仮想 MFA デバイスおよびハードウェア MFA デバイス – AWS のウェブサイトにアクセスするには、ユーザー名とパスワードに加えて、デバイスの MFA コードが必要です。

     MFA で保護された API オペレーションにアクセスするには、以下のものが必要です。

     • MFA コード

     • MFA デバイスのID (物理デバイスのデバイスシリアル番号または AWS で定義された仮想デバイスの ARN)

     • 通常のアクセスキー ID とシークレットアクセスキー

   メモ

   • FIDO セキュリティキーの MFA 情報を AWS STS API オペレーションに渡して一時的認証情報をリクエストすることはできません。

   • AWS CLI コマンドまたは AWS API 操作を使用して FIDO セキュリティキーを有効にすることはできません。

詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。