AWS Identity and Access Management
ユーザーガイド

仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)

仮想 MFA デバイスとは、6 桁の認証コードを作成するソフトウェアアプリケーションで、RFC 6238 にある Time-Based One-Time Password (TOTP) 標準に準拠しています。このアプリケーションは、スマートフォンを含め、モバイルハードウェアデバイス上で動作できます。また、ほとんどの仮想 MFA アプリでは、複数の仮想 MFA デバイスをホストすることができるので、ハードウェア MFA デバイスよりも便利に利用できます。ただし、仮想 MFA はスマートフォンのような安全性の低いデバイスで実行される可能性があることに注意してください。したがって、仮想 MFA はハードウェア MFA デバイスと同じレベルのセキュリティを提供しない可能性があります。

AWS アカウントのルートユーザー または IAM ユーザー 1 人あたり 1 つの MFA デバイスのみ有効にすることができ、デバイスは指定されたユーザーのみが使用できます。一部の仮想 MFA ソフトウェアアプリが複数のアカウントをサポートするように表示されますが、追加する各アカウントは、単一の仮想 MFA デバイスを表します。また、その単一の仮想デバイスを関連付けることができるのは 1 人のユーザーのみです。

スマートフォンおよびタブレット (Google Android、Apple iPhone および iPad、Windows Phone など) で使用できる仮想 MFA アプリの一覧については、http://aws.amazon.com/iam/details/mfa/ の「仮想 MFA アプリケーション」を参照してください。AWS では、6 桁の OTP を生成する仮想 MFA アプリが必要です。

AWS マネジメントコンソールから MFA デバイスを有効にして管理するには、次のステップに従います。コマンドラインで MFA デバイスを有効化および管理するか、API を使用する場合は、「仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API)」を参照してください。

重要

仮想 MFA デバイスが AWS と連携するように設定する場合、QR コードまたはシークレットキーのコピーを安全な場所に保存しておくことをお勧めします。そうすることで、何らかの理由で電話を紛失したり、MFA ソフトウェアアプリを再インストールする必要が生じた場合、同じ仮想 MFA を使用するようにアプリケーションを再設定できます。これにより、ユーザーまたは ルートユーザー のために AWS で新しい仮想 MFA を作成する必要がなくなります。

IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)

AWS マネジメントコンソールで IAM を使用して、アカウントの IAM ユーザーの仮想 MFA デバイスを有効にすることができます。

注記

MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。たとえば、スマートフォンで実行される仮想 MFA デバイスを使用するユーザー用に MFA を設定するとします。その場合、ウィザードを完了するには、そのスマートフォンを利用できる必要があります。このため、ユーザーが自分の仮想 MFA デバイスを構成して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。この権限を付与する IAM ポリシーの詳細および例については、「ユーザーが自分の仮想 MFA デバイスのみを管理することを許可する」を参照してください。

ユーザーの仮想 MFA デバイスを有効にするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. [User Name] リストから対象の MFA ユーザーの名前を選択します。

  4. [Security credentials] タブを選択します。[Assigned MFA device] の横にある編集アイコン ( ) をクリックします。

  5. Manage MFA Device ウィザードで [A virtual MFA device] を選択してから [Next Step] を選択します。

    IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できる「シークレット設定キー」を示しています。

  6. 仮想 MFA アプリを開きます。仮想 MFA デバイスをホストするために使用できるアプリのリストについては、「仮想 MFA アプリケーション」を参照してください。仮想 MFA アプリが複数のアカウント (複数の仮想 MFA デバイス) をサポートしている場合は、新しいアカウント (新しい仮想 MFA デバイス) を作成するオプションを選択します。

  7. MFA アプリが QR コードをサポートしているかどうかを確認してから、次のいずれかを実行します。

    • QR コードをスキャンするアプリを使用します。たとえば、カメラアイコンまたは [Scan code] に似たオプションを選択し、デバイスのカメラを使用してコードをスキャンします。

    • [Manage MFA Device] ウィザードで [Show secret key for manual configuration] を選択し、MFA アプリにシークレット設定キーを入力します。

    これで仮想 MFA デバイスはワンタイムパスワードの生成を開始します。

  8. [Manage MFA Device] ウィザードの [Authentication Code 1] ボックスに、現在仮想 MFA デバイスに表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます (最長 30 秒)。生成されたら [Authentication Code 2] ボックスに 2 つ目のワンタイムパススワードを入力します。[Active Virtual MFA] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

これで仮想 MFA デバイスを AWS で使用できます。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

お使いの AWS アカウントのルートユーザーの仮想 MFA デバイスを有効にする (Console)

AWS マネジメントコンソール で IAM を使用して、ルートユーザー の仮想 MFA デバイスを設定して有効にすることができます。AWS アカウントの MFA デバイスを有効にするには、ルートユーザー 認証情報を使用して AWS にサインインしている必要があります。AWS CLI、AWS API、Tools for Windows PowerShell、またはその他のコマンドラインツールを使用して AWS アカウントのルートユーザー の MFA デバイスを有効にすることはできません。

お客様の MFA デバイスが紛失、盗難にあった場合、または動作しない場合でも、認証の代替要因を使用してサインインすることができます。これを行うには、アカウントに登録されている E メールと電話を使用してお客様のアイデンティティを確認する必要があります。つまり、MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと電話を使用してアイデンティティを確認してサインインすることができます。ルートユーザー の MFA を有効にする前に、アカウント設定と連絡先情報をチェックして、E メールと電話番号にアクセスできることを確認してください。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。この機能を無効にするには、AWS サポート に連絡してください。

注記

2017 年 9 月 14 日以降に作成された AWS アカウントを使用している場合、[Sign in with authentication device] および [Troubleshoot your authentication device] コンソールページに違いがある可能性があります。ただし、提供されている機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、MFA 設定の非アクティブ化について AWS サポートにお問い合わせください。

仮想 MFA デバイスを設定および有効化して ルートユーザー で使用するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 次のいずれかを行ってください。

    • オプション 1: [Dashboard] を選択し、[Security Status] の [Activate MFA on your ルートユーザー] を展開します。

    • オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (セキュリティ認証情報)] を選択します。必要に応じて、[Continue to Security Credentials] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

      ナビゲーションメニューの [セキュリティ認証情報]
  3. 前のステップで選択したオプションに応じて、[Manage MFA] または [Activate MFA] を選択します。

  4. ウィザードで [A virtual MFA device] を選択してから [Next Step] を選択します。

  5. 仮想 MFA アプリがデバイスにインストールされていることを確認し、[Next Step] を選択します。IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できるシークレット設定キーを示しています。

  6. [Manage MFA Device] ウィザードが開いている状態で、仮想 MFA アプリをデバイスで起動します。

  7. 仮想 MFA ソフトウェアが複数のアカウント (複数の仮想 MFA デバイス) をサポートしている場合は、新しいアカウント (新しい仮想 MFA デバイス) を作成するオプションを選択します。

  8. QR コードをスキャンするアプリを使用してアプリを設定するのが最も簡単な方法です。QR コードに対応していない場合には、設定情報を手入力します。

    • QR コードを使用して仮想 MFA デバイスを設定するには、アプリの指示に従ってコードをスキャンします。たとえば、カメラアイコンや、Scan account barcode のようなコマンドをタップし、デバイスのカメラを使用してコードを QR スキャンする場合があります。

    • コードをスキャンできない場合には、アプリに Secret Configuration Key の値を入力して、設定情報を手動で入力します。たとえば、AWS 仮想 MFA アプリでこの設定を行うには [Manually add account] をタップし、シークレット設定キーを入力してから、[Create] をクリックします。

    重要

    QR コードまたはシークレット設定キーの安全なバックアップを作成するか、アカウント用の複数の仮想 MFA デバイスを有効にしていることを確認します。たとえば仮想 MFA デバイスがホストされているスマートフォンを紛失した場合などは、仮想 MFA デバイスが使用できなくなる可能性があります。その場合はアカウントにサインインできなくなり、カスタマー サービスに連絡してアカウントの MFA 保護を解除する必要があります。

    注記

    IAM によって生成された QR コードやシークレット設定キーはお客様の AWS アカウントに関連付けられており、別のアカウントでは使用できません。ただし、元の MFA デバイスが利用できなくなった場合に、これらの情報を再利用してアカウントの新しい MFA デバイスを設定できます。

    デバイスは 6 桁の数字の生成を開始します。

  9. [Manage MFA Device] ウィザードの [Authentication Code 1] ボックスに、MFA デバイスに表示されている 6 桁の数字を入力します。次にデバイスが新しい数字を生成するまで 30 秒ほど待ち、表示された新しい 6 桁の数字を [Authentication Code 2] ボックスに入力します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

  10. [Next Step] を選択し、さらに [Finish] を選択します。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

仮想 MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの仮想 MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。