AWS Identity and Access Management
ユーザーガイド

ハードウェア MFA デバイスの有効化 (Console)

IAM ユーザーのハードウェア MFA デバイスは、AWS マネジメントコンソール、コマンドライン、または IAM API を使用して有効にすることができます。AWS アカウントのルートユーザー の MFA デバイス設定を有効にするには、「AWS アカウント root ユーザー用にハードウェア MFA デバイスを有効にする (コンソール)」を参照してください。

ルートユーザー または IAM ユーザーあたり 1 つの MFA デバイス (任意の種類) を有効にできます。

注記

コマンドラインからデバイスを有効化する場合には、iam-userenablemfadevice aws iam enable-mfa-device を使用します。IAM API で MFA デバイスを有効化する場合には、EnableMFADevice アクションを使用します。

IAM ユーザーのハードウェア MFA デバイスを有効にする (コンソール)

AWS マネジメントコンソール からハードウェア MFA デバイスを有効にできます。

IAM ユーザー (コンソール) のハードウェア MFA デバイスを有効にするには、

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. MFA を有効にする対象のユーザー名を選択し、[Security Credentials] タブを選択します。

  4. [Assigned MFA device] の横にある鉛筆アイコン ( )をクリックします。

  5. Manage MFA Device ウィザードで [A hardware MFA device] を選択してから [Next Step] を選択します。

  6. 対象デバイスのシリアルナンバーを入力します。シリアルナンバーは、通常、デバイスの背面にあります。

  7. [Authentication Code 1] に MFA デバイスに表示されている 6 桁の数字を入力します。デバイス前面のボタンを押して数字を表示する場合があります。

     IAM ダッシュボード、MFA デバイス
  8. デバイスがコードをリフレッシュするまで 30 秒ほど待ち、リフレッシュ後に表示された 6 桁の数字を [Authentication Code 2] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  9. [Next Step] を選択します。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、IAM のサインインページでの MFA デバイスの使用を参照してください。

AWS アカウント root ユーザー用にハードウェア MFA デバイスを有効にする (コンソール)

AWS マネジメントコンソール で IAM を使用して ルートユーザー のハードウェア MFA デバイスを設定して有効にすることができます。AWS アカウントの MFA デバイスを有効にするには、ルートユーザー 認証情報を使用して AWS にサインインしている必要があります。AWS CLI、AWS API、Tools for Windows PowerShell、またはその他のコマンドラインツールを使用して AWS アカウントのルートユーザー の MFA デバイスを有効にすることはできません。

お客様の MFA デバイスが紛失、盗難にあった場合、または動作しない場合でも、認証の代替要因を使用してサインインすることができます。つまり、MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと電話を使用してアイデンティティを確認してサインインすることができます。ルートユーザー の MFA を有効にする前に、アカウント設定と連絡先情報をチェックして、E メールと電話番号にアクセスできることを確認してください。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。この機能を無効にするには、AWS サポート に連絡してください。

注記

2017 年 9 月 14 日以降に作成された AWS アカウントを使用している場合、[Sign in with authentication device] および [Troubleshoot your authentication device] コンソールページに違いがある可能性があります。ただし、提供されている機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、MFA 設定の非アクティブ化について AWS サポートにお問い合わせください。

ルートユーザー の MFA デバイスを有効にするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

    重要

    AWS アカウントの MFA デバイスを管理するには、ルートユーザー 認証情報を使用して AWS にサインインする必要があります。他の認証情報を使用してサインインした場合、ルートユーザー の MFA デバイスを管理することはできません。

  2. 次のいずれかを行ってください。

    • オプション 1: [Dashboard] を選択し、[Security Status] の [Activate MFA on your root account] を展開します。

    • オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (セキュリティ認証情報)] を選択します。必要に応じて、[Continue to Security Credentials] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

      ナビゲーションメニューの [セキュリティ認証情報]
  3. 前のステップで選択したオプションに応じて、[Manage MFA] または [Activate MFA] を選択します。

  4. ウィザードで [A hardware MFA device] を選択してから [Next Step] を選択します。

  5. [Serial Number] ボックスに MFA デバイス背面に表示されているシリアルナンバーを入力します。

  6. [Authentication Code 1] に MFA デバイスに表示されている 6 桁の数字を入力します。デバイス前面のボタンを押して数字を表示する場合があります。

     IAM ダッシュボード、MFA デバイス
  7. デバイスがコードをリフレッシュするまで 30 秒ほど待ち、リフレッシュ後に表示された 6 桁の数字を [Authentication Code 2] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  8. [Next Step] を選択します。MFA デバイスと AWS アカウントの関連付けが完了しました。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

    次回 ルートユーザー 認証情報を使ってサインインするときに、MFA デバイスのコードを入力する必要があります。

物理的な MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。