AWS Identity and Access Management
ユーザーガイド

U2F セキュリティキーの有効化 (コンソール)

Universal 2nd Factor (U2F) セキュリティキーは、AWS リソースの保護に使用できる MFA デバイス の一種です。U2F のセキュリティキーをコンピュータの USB ポートに接続し、以下の手順で有効にします。有効にした後、サインインプロセスを安全に完了するように求められたら、そのキーをタップします。すでに他のサービスで U2F セキュリティキーを使用していて、AWS でサポートされている設定 (Yubico の Yubikey 4 や 5 など) がある場合は、そのキーも AWS で使用できます。それ以外の場合、AWS で MFA に U2F を使用するには、U2F セキュリティキーを購入する必要があります。仕様および購入情報については、「多要素認証」を参照してください。

U2F は、FIDO Alliance が運用するオープン認証規格です。AWS で U2F キーを有効にすると、U2F セキュリティキーから、AWS でのみ使用するための新しいキーペアが作成されます。まず、認証情報を入力します。プロンプトが表示されたら、AWS によって発行された認証チャレンジに応答する U2F セキュリティキーをタップします。U2F 標準の詳細については、「Universal 2nd Factor」を参照してください。

ルートユーザー または IAM ユーザーあたり 1 つの MFA デバイス (任意の種類) を有効にできます。

必要なアクセス許可

重要な MFA 関連のアクションを保護しながら、独自の IAM ユーザー用に U2F セキュリティキーを管理するには、次のポリシーのアクセス許可が必要です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

独自の IAM ユーザーの U2F セキュリティキーを有効にする (コンソール)

独自の IAM ユーザーの U2F セキュリティキーは、AWS CLI または AWS API からではなく、AWS マネジメントコンソール からのみ有効にすることができます。

注記

U2F セキュリティキーを有効にする前に、そのデバイスに物理的にアクセスできる必要があります。

独自の IAM ユーザーの U2F セキュリティキーを有効にするには (コンソール)

  1. AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用してIAM コンソールにサインインします。

    注記

    便宜のために、AWS サインインページではブラウザの Cookie を使用して、IAM ユーザー名とアカウント情報を記憶しています。以前に別のユーザーとしてサインインしていた場合は、ページの下部にある[Sign in to a different account] を選択して、メインのサインインページに戻ります。そこから AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトすることができます。

    AWS アカウント ID を取得するには、管理者にお問い合わせください。

  2. 右上のナビゲーションバーでユーザー名を選択し、続いて [My Security Credentials (セキュリティ認証情報)] を選択します。

    
                  AWS マネジメントコンソールの [My Security Credentials (セキュリティ認証情報)] リンク
  3. [AWS IAM 認証情報] タブの [Multi-Factor Authentication] セクションで、[MFA デバイスの管理] を選択します。

  4. [MFA デバイスの管理] ウィザードで、[U2F security key (U2F セキュリティキー)]、[Continue (続行)] の順に選択します。

  5. コンピュータの USB ポートに U2F セキュリティキーを挿入します。

    
                  U2F セキュリティキー
  6. U2F のセキュリティキーをタップし、U2F の設定が完了したら [Close (閉じる)] を選択します。

これで、U2F セキュリティキーは AWS で使用可能になりました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

別の IAM ユーザーの U2F セキュリティキーを有効にする (コンソール)

別の IAM ユーザーの U2F セキュリティキーは、AWS CLI または AWS API からではなく、AWS マネジメントコンソール からのみ有効にすることができます。

別の IAM ユーザーの U2F セキュリティキーを有効にするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー] を選択します。

  3. MFA を有効にする対象のユーザー名を選択し、[Security credentials] タブを選択します。

  4. [Assigned MFA device (割り当て済み MFA デバイス)] の横で、[管理] を選択します。

  5. [MFA デバイスの管理] ウィザードで、[U2F security key (U2F セキュリティキー)]、[Continue (続行)] の順に選択します。

  6. コンピュータの USB ポートに U2F セキュリティキーを挿入します。

    
            U2F セキュリティキー
  7. U2F のセキュリティキーをタップし、U2F の設定が完了したら [Close (閉じる)] を選択します。

これで、U2F セキュリティキーは AWS で使用可能になりました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

AWS アカウント root ユーザーの U2F セキュリティキーを有効にする (コンソール)

ルートユーザー の仮想 MFA デバイスは、AWS CLI または AWS APIからではなく、AWS マネジメントコンソール からのみ設定して有効にできます。

お客様の U2F セキュリティキーが紛失、盗難にあった場合、または動作しない場合でも、認証の代替要因を使用してサインインすることができます。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。この機能を無効にするには、「AWS サポート」にお問い合わせください。

ルートユーザー の U2F キーを有効にするには (コンソール)

  1. AWS アカウントのメールアドレスとパスワードを使用し、AWS アカウントのルートユーザー として AWS マネジメントコンソールにサインインします。

    注記

    過去に IAM ユーザー認証情報を使用してコンソールにサインインしたことがあり、そのときの情報がブラウザに記録されている場合、自分のアカウント固有のサインインページが開きます。IAM ユーザーサインインページで、AWS アカウントのルートユーザー 認証情報を使用してサインインすることはできません。IAM ユーザーのサインインページが表示された場合は、ページの下部付近にある [Sign-in using ルートユーザー credentials] を選択し、サインインのメインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを入力できます。

  2. オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (セキュリティ認証情報)] を選択します。必要に応じて、[セキュリティ認証情報に進む] を選択します。

    
                  ナビゲーションメニューの [認証情報]
  3. [Multi-factor authentication (MFA)] セクションを展開します。

  4. 前のステップで選択したオプションに応じて、[MFA の管理] または [MFA の有効化] を選択します。

  5. ウィザードで、[U2F security key (U2F セキュリティキー)]、[Continue (続行)] の順に選択します。

  6. コンピュータの USB ポートに U2F セキュリティキーを挿入します。

    
                  U2F セキュリティキー
  7. U2F のセキュリティキーをタップし、U2F の設定が完了したら [Close (閉じる)] を選択します。

これで、U2F セキュリティキーは AWS で使用可能になりました。次回に root ユーザーの認証情報を使用してログインするときは、U2F セキュリティキーをタップしてサインインプロセスを完了する必要があります。

U2F セキュリティキーを交換する

一度にユーザーに割り当てることができるのは、1 つの MFA デバイス (仮想 U2F セキュリティキーまたはハードウェア) のみです。ユーザーが U2F キーを紛失したか、何らかの理由で交換する必要がある場合、最初に古い U2F キーを非アクティブ化する必要があります。その後、そのユーザー用に新しい MFA デバイスを追加できます。

新しい U2F セキュリティキーにアクセスできない場合は、新しい仮想 MFA デバイスまたはハードウェア MFA デバイスを有効にすることができます。手順については、以下のいずれかを参照してください。