AWS Identity and Access Management
ユーザーガイド

U2F セキュリティキーの有効化 (コンソール)

Universal 2nd Factor (U2F) セキュリティキーは、AWS リソースの保護に使用できる MFA デバイス の一種です。U2F のセキュリティキーをコンピュータの USB ポートに接続し、以下の手順で有効にします。有効にした後、サインインプロセスを安全に完了するように求められたら、そのキーをタップします。すでに他のサービスで U2F セキュリティキーを使用していて、AWS でサポートされている設定 (Yubico の Yubikey 4 や 5 など) がある場合は、そのキーも AWS で使用できます。それ以外の場合、AWS で MFA に U2F を使用するには、U2F セキュリティキーを購入する必要があります。仕様および購入情報については、「多要素認証」を参照してください。

U2F は、FIDO Alliance が運用するオープン認証規格です。AWS で U2F キーを有効にすると、U2F セキュリティキーから、AWS でのみ使用するための新しいキーペアが作成されます。まず、認証情報を入力します。プロンプトが表示されたら、AWS によって発行された認証チャレンジに応答する U2F セキュリティキーをタップします。U2F 標準の詳細については、「Universal 2nd Factor」を参照してください。

ルートユーザー または IAM ユーザーあたり 1 つの MFA デバイス (任意の種類) を有効にできます。

IAM ユーザー (コンソール) の U2F セキュリティキーを有効にする

IAM ユーザーの U2F セキュリティキーは、AWS CLI または AWS API からではなく、AWS マネジメントコンソール からのみ有効にすることができます。AWS アカウントのルートユーザー の U2F セキュリティキーを有効にするには、「AWS アカウント root ユーザーの U2F セキュリティキーを有効にする (コンソール)」を参照してください。

IAM ユーザーの U2F セキュリティキーを有効にするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. MFA を有効にする対象のユーザー名を選択し、[認証情報] タブを選択します。

  4. [Assigned MFA device (割り当て済み MFA デバイス)] の横で, [管理] を選択します。

  5. [MFA デバイスの管理] ウィザードで、[U2F security key (U2F セキュリティキー)]、[Continue (続行)] の順に選択します。

  6. コンピュータの USB ポートに U2F セキュリティキーを挿入します。

    
            U2F セキュリティキー
  7. U2F のセキュリティキーをタップし、U2F の設定が完了したら [Close (閉じる)] を選択します。

これで、U2F セキュリティキーは AWS で使用可能になりました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

AWS アカウント root ユーザーの U2F セキュリティキーを有効にする (コンソール)

AWS マネジメントコンソール で IAM を使用して AWS アカウントのルートユーザー の U2F セキュリティキーを設定して有効にすることができます。AWS アカウントの MFA デバイスを有効にするには、ルートユーザー 認証情報を使用して AWS にサインインしている必要があります。

お客様の U2F セキュリティキーが紛失、盗難にあった場合、または動作しない場合でも、認証の代替要因を使用してサインインすることができます。つまり、U2F セキュリティキーでサインインできない場合は、アカウントに登録されている E メールと電話を使用して ID を確認してサインインすることができます。 ルートユーザー の U2F セキュリティキーを有効にする前に、アカウント設定と連絡先情報をチェックして、E メールと電話番号にアクセスできることを確認してください。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。この機能を無効にするには、「AWS サポート」にお問い合わせください。

注記

他のテキスト (例: MFA を使用してサインイン認証デバイスのトラブルシューティング) が表示される場合があります。ただし、提供されている機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、MFA 設定の非アクティブ化について AWS サポートにお問い合わせください。

ルートユーザー の U2F キーを有効にするには (コンソール)

  1. AWS マネジメントコンソール にサインインします。

    重要

    AWS アカウントの MFA デバイスを管理するには、ルートユーザー 認証情報を使用して AWS にサインインする必要があります。他の認証情報を使用してサインインした場合、ルートユーザー の MFA デバイスを管理することはできません。

  2. 次のいずれかを行ってください。

    • オプション 1: [ダッシュボード] を選択し、[セキュリティステータス] の [ルートアカウントの MFA を有効化] を展開します。

    • オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (認証情報)] を選択します。必要に応じて、[セキュリティ認証情報に進む] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

      
                ナビゲーションメニューの [認証情報]
  3. 前のステップで選択したオプションに応じて、[MFA の管理] または [MFA の有効化] を選択します。

  4. ウィザードで、[U2F security key (U2F セキュリティキー)]、[Continue (続行)] の順に選択します。

  5. コンピュータの USB ポートに U2F セキュリティキーを挿入します。

    
              U2F セキュリティキー
  6. U2F のセキュリティキーをタップし、U2F の設定が完了したら [Close (閉じる)] を選択します。

これで、U2F セキュリティキーは AWS で使用可能になりました。次回に root ユーザーの認証情報を使用してログインするときは、U2F セキュリティキーをタップしてサインインプロセスを完了する必要があります。

U2F セキュリティキーを交換する

一度にユーザーに割り当てることができるのは、1 つの MFA デバイス (仮想 U2F セキュリティキーまたはハードウェア) のみです。ユーザーが U2F キーを紛失したか、何らかの理由で交換する必要がある場合、最初に古い U2F キーを非アクティブ化する必要があります。その後、そのユーザー用に新しい MFA デバイスを追加できます。

新しい U2F セキュリティキーにアクセスできない場合は、新しい仮想 MFA デバイスまたはハードウェア MFA デバイスを有効にすることができます。手順については、以下のいずれかを参照してください。