AWS Identity and Access Management
ユーザーガイド

ハードウェア MFA デバイスの有効化 (Console)

hardware MFA デバイスは、時間同期されるワンタイムパスワードアルゴリズムに基づいて 6 桁の数値コードを生成します。ユーザーは、サインインプロセス中に求められたら、デバイスから有効なコードを入力する必要があります。ユーザーに割り当てられる各 MFA デバイスは一意であり、他のユーザーのデバイス向けのコードでは認証されません。

ハードウェア MFA デバイスと U2F セキュリティキーは、いずれもお客様が購入する物理デバイスです。違いは、ハードウェア MFA デバイスは、表示するコードを生成し、AWS に署名するときにプロンプトが表示されたときに入力することです。U2F セキュリティキーを使用する場合は、認証コードを表示したり入力したりすることはありません。代わりに、U2F セキュリティキーはユーザーに表示することなくレスポンスを生成し、サービスはそのレスポンスを検証します。両方のデバイスタイプの仕様と購入情報については、「多要素認証」を参照してください。

IAM ユーザーのハードウェア MFA デバイスは、AWS マネジメントコンソール、コマンドライン、または IAM API を使用して有効にすることができます。AWS アカウントのルートユーザー の MFA デバイス設定を有効にするには、「AWS アカウント root ユーザー用にハードウェア MFA デバイスを有効にする (コンソール)」を参照してください。

ルートユーザー または IAM ユーザーあたり 1 つの MFA デバイス (任意の種類) を有効にできます。

注記

コマンドラインからデバイスを有効化する場合には、iam-userenablemfadevice aws iam enable-mfa-device を使用します。IAM API で MFA デバイスを有効化する場合には、EnableMFADevice オペレーションを使用します。

必要なアクセス許可

重要な MFA 関連のアクションを保護しながら、独自の IAM ユーザー用にハードウェア MFA デバイスを管理するには、次のポリシーのアクセス許可が必要です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

独自の IAM ユーザー (コンソール) のハードウェア MFA デバイスを有効にする。

AWS マネジメントコンソール から独自のハードウェア MFA デバイスを有効にできる。

注記

ハードウェア MFA デバイスを有効にする前に、そのデバイスに物理的にアクセスできる必要があります。

独自の IAM ユーザー (コンソール) のハードウェア MFA デバイスを有効にするには

  1. AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用してIAM コンソールにサインインします。

    注記

    便宜のために、AWS サインインページではブラウザの Cookie を使用して、IAM ユーザー名とアカウント情報を記憶しています。以前に別のユーザーとしてサインインしていた場合は、ページの下部にある[Sign in to a different account] を選択して、メインのサインインページに戻ります。そこから AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトすることができます。

    AWS アカウント ID を取得するには、管理者にお問い合わせください。

  2. 右上のナビゲーションバーでユーザー名を選択し、続いて [My Security Credentials (セキュリティ認証情報)] を選択します。

    
                  AWS マネジメントコンソールの [My Security Credentials (セキュリティ認証情報)] リンク
  3. [AWS IAM 認証情報] タブの [Multi-Factor Authentication] セクションで、[MFA デバイスの管理] を選択します。

  4. [MFA デバイスの管理] ウィザードで、[ハードウェア MFA デバイス]、[Continue (続行)] の順に選択します。

  5. 対象デバイスのシリアルナンバーを入力します。シリアルナンバーは、通常、デバイスの背面にあります。

  6. MFA デバイスに表示されている 6 桁の数字を [MFA code 1 (MFA コード 1)] に入力します。デバイス前面のボタンを押して数字を表示する場合があります。

    
                  IAM ダッシュボード、MFA デバイス
  7. デバイスがコードを更新するまで 30 秒ほど待ち、更新後に表示された 6 桁の数字を [MFA code 2 (MFA コード 2)] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  8. [Assign MFA (MFA の割り当て)] を選択します。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

IAM ユーザー (コンソール) のハードウェア MFA デバイスを有効にする

AWS マネジメントコンソール から別の IAM ユーザーのハードウェア MFA デバイスを有効にできます。

別の IAM ユーザー (コンソール) のハードウェア MFA デバイスを有効にするには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー] を選択します。

  3. MFA を有効にする対象のユーザー名を選択し、[Security credentials] タブを選択します。

  4. [Assigned MFA device (割り当て済み MFA デバイス)] の横で、[管理] を選択します。

  5. [MFA デバイスの管理] ウィザードで、[ハードウェア MFA デバイス]、[Continue (続行)] の順に選択します。

  6. 対象デバイスのシリアルナンバーを入力します。シリアルナンバーは、通常、デバイスの背面にあります。

  7. MFA デバイスに表示されている 6 桁の数字を [MFA code 1 (MFA コード 1)] に入力します。デバイス前面のボタンを押して数字を表示する場合があります。

    
            IAM ダッシュボード、MFA デバイス
  8. デバイスがコードを更新するまで 30 秒ほど待ち、更新後に表示された 6 桁の数字を [MFA code 2 (MFA コード 2)] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  9. [Assign MFA (MFA の割り当て)] を選択します。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

AWS アカウント root ユーザー用にハードウェア MFA デバイスを有効にする (コンソール)

ルートユーザー の仮想 MFA デバイスは、AWS CLI または AWS APIからではなく、AWS マネジメントコンソール からのみ設定して有効にできます。

お客様の MFA デバイスが紛失、盗難にあった場合、または動作しない場合でも、認証の代替要因を使用してサインインすることができます。MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと電話を使用して ID を確認してサインインすることができます。ルートユーザー の MFA を有効にする前に、アカウント設定と連絡先情報をチェックして、E メールと電話番号にアクセスできることを確認してください。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。この機能を無効にするには、「AWS サポート」にお問い合わせください。

注記

他のテキスト (例: MFA を使用してサインイン認証デバイスのトラブルシューティング) が表示される場合があります。ただし、提供されている機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、MFA 設定の非アクティブ化について AWS サポートにお問い合わせください。

ルートユーザー の MFA デバイスを有効にするには (コンソール)

  1. AWS アカウントの E メールアドレスとパスワードを使用し、AWS アカウントのルートユーザー として AWS マネジメントコンソール にサインインしてください。

    注記

    過去に IAM ユーザー認証情報を使用してコンソールにサインインしたことがあり、そのときの情報がブラウザに記録されている場合、自分のアカウント固有のサインインページが開きます。IAM ユーザーサインインページで、AWS アカウントのルートユーザー 認証情報を使用してサインインすることはできません。IAM ユーザーのサインインページが表示された場合は、ページの下部付近にある [Sign-in using ルートユーザー credentials] を選択し、サインインのメインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを入力できます。

  2. オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (セキュリティ認証情報)] を選択します。必要に応じて、[セキュリティ認証情報に進む] を選択します。

    
                  ナビゲーションメニューの [認証情報]
  3. [Multi-factor authentication (MFA)] セクションを展開します。

  4. 前のステップで選択したオプションに応じて、[MFA の管理] または [MFA の有効化] を選択します。

  5. ウィザードで、[ハードウェア MFA デバイス]、[Continue (続行)] の順に選択します。

  6. [シリアル番号] ボックスに MFA デバイス背面に表示されているシリアル番号を入力します。

  7. MFA デバイスに表示されている 6 桁の数字を [MFA code 1 (MFA コード 1)] に入力します。デバイス前面のボタンを押して数字を表示する場合があります。

    
                  IAM ダッシュボード、MFA デバイス
  8. デバイスがコードを更新するまで 30 秒ほど待ち、更新後に表示された 6 桁の数字を [MFA code 2 (MFA コード 2)] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

  9. [Assign MFA (MFA の割り当て)] を選択します。MFA デバイスと AWS アカウントの関連付けが完了しました。

    重要

    認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

    次回 ルートユーザー 認証情報を使ってサインインするときに、MFA デバイスのコードを入力する必要があります。

物理的な MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。