AWS Identity and Access Management
ユーザーガイド

仮想多要素認証 (MFA) デバイスの有効化 (コンソール)

仮想 MFA デバイスとは、6 桁の認証コードを作成するソフトウェアアプリケーションで、RFC 6238 にある Time-Based One-Time Password (TOTP) 標準に準拠しています。このアプリケーションは、スマートフォンを含め、モバイルハードウェアデバイス上で動作できます。また、ほとんどの仮想 MFA アプリでは、複数の仮想 MFA デバイスをホストすることができるので、ハードウェア MFA デバイスよりも便利に利用できます。ただし、仮想 MFA はスマートフォンのような安全性の低いデバイスで実行される可能性があることに注意してください。したがって、仮想 MFA はハードウェア MFA デバイスと同じレベルのセキュリティを提供しない可能性があります。

AWS アカウントのルートユーザー または IAM ユーザー 1 人あたり 1 つの MFA デバイスのみ有効にすることができ、デバイスは指定されたユーザーのみが使用できます。一部の仮想 MFA ソフトウェアアプリが複数のアカウントをサポートするように表示されますが、追加する各アカウントは、1 つの仮想 MFA デバイスを表します。また、その単一の仮想デバイスを関連付けることができるのは 1 人のユーザーのみです。

スマートフォンおよびタブレット (Google Android、Apple iPhone および iPad、Windows Phone など) で使用できる仮想 MFA アプリケーションのリストについては、「多要素認証」を参照してください。AWS では、6 桁の OTP を生成する仮想 MFA アプリが必要です。

AWS マネジメントコンソールから MFA デバイスを有効にして管理するには、次のステップに従います。コマンドラインで MFA デバイスを有効化および管理するか、API を使用する場合は、「仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API)」を参照してください。

重要

仮想 MFA デバイスが AWS と連携するように設定する場合、QR コードまたはシークレットキーのコピーを安全な場所に保存しておくことをお勧めします。そうすることで、何らかの理由で電話を紛失したり、MFA ソフトウェアアプリを再インストールする必要が生じた場合、同じ仮想 MFA を使用するようにアプリケーションを再設定できます。これにより、ユーザーまたは ルートユーザー のために AWS で新しい仮想 MFA を作成する必要がなくなります。

IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)

AWS マネジメントコンソールで IAM を使用して、アカウントの IAM ユーザーの仮想 MFA デバイスを有効にすることができます。

注記

MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。たとえば、スマートフォンで実行される仮想 MFA デバイスを使用するユーザー用に MFA を設定するとします。その場合、ウィザードを完了するには、そのスマートフォンを利用できる必要があります。このため、ユーザーが自分の仮想 MFA デバイスを構成して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。この権限を付与する IAM ポリシーの詳細および例については、「ユーザーが自分の仮想 MFA デバイスのみを管理することを許可する」を参照してください。

IAM ユーザーの仮想 MFA デバイスを有効にするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. [ユーザー名] リストから対象の MFA ユーザーの名前を選択します。

  4. [Security credentials] タブを選択します。[Assigned MFA device (割り当て済み MFA デバイス)] の横で、[管理] を選択します。

  5. [MFA デバイスの管理] ウィザードで、[仮想 MFA デバイス]、[Continue (続行)] の順に選択します。

    IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できる「シークレット設定キー」を示しています。

  6. 仮想 MFA アプリを開きます。(仮想 MFA デバイスのホストに使用できるアプリケーションのリストについては、「多要素認証」を参照) 仮想 MFA アプリが複数のアカウント (複数の仮想 MFA デバイス) をサポートしている場合は、新しいアカウント (新しい仮想 MFA デバイス) を作成するオプションを選択します。

  7. MFA アプリが QR コードをサポートしているかどうかを確認してから、次のいずれかを実行します。

    • ウィザードから [Show QR code (QR コードの表示)] を選択し、アプリを使用して QR コードをスキャンします。たとえば、カメラアイコンまたは [Scan code (スキャンコード)] に似たオプションを選択し、デバイスのカメラを使用してコードをスキャンします。

    • [MFA デバイスの管理] ウィザードで [手動設定のシークレットキーを表示] を選択し、MFA アプリにシークレット設定キーを入力します。

    これで仮想 MFA デバイスはワンタイムパスワードの生成を開始します。

  8. [MFA デバイスの管理] ウィザードの [MFA code 1 (MFA コード 1)] ボックスに、現在仮想 MFA デバイスに表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます (最長 30 秒)。生成されたら [MFA code 2 (MFA コード 2)] ボックスに 2 つ目のワンタイムパススワードを入力します。[Assign MFA (MFA の割り当て)] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

これで仮想 MFA デバイスを AWS で使用できます。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

お使いの AWS アカウントのルートユーザーの仮想 MFA デバイスを有効にする (Console)

AWS マネジメントコンソール を使用して、ルートユーザー の仮想 MFA デバイスを設定して有効にすることができます。AWS アカウントの MFA デバイスを有効にするには、ルートユーザー 認証情報を使用して AWS にサインインしている必要があります。IAM コンソール、AWS CLI、AWS API、Tools for Windows PowerShell、またはその他のコマンドラインツールを使用して AWS アカウントのルートユーザー の MFA デバイスを有効にすることはできません。

お客様の MFA デバイスが紛失、盗難にあった場合、または動作しない場合でも、認証の代替要因を使用してサインインすることができます。MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと電話を使用して ID を確認してサインインすることができます。ルートユーザー の MFA を有効にする前に、アカウント設定と連絡先情報をチェックして、E メールと電話番号にアクセスできることを確認してください。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。この機能を無効にするには、「AWS サポート」にお問い合わせください。

注記

2017 年 9 月 14 日より後に作成された AWS アカウントを使用している場合は、[Sign in using MFA (MFA でサインイン)] および [Troubleshoot your authentication device (認証デバイスをトラブルシューティング)] コンソールページに違いがある可能性があります。ただし、提供されている機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、MFA 設定の非アクティブ化について AWS サポートにお問い合わせください。

仮想 MFA デバイスを設定および有効化して ルートユーザー で使用するには (コンソール)

  1. AWS マネジメントコンソール にサインインします。

  2. 次のいずれかを行ってください。

    • オプション 1: [ダッシュボード] を選択し、[セキュリティステータス] の [ルートユーザー の MFA を有効化] を展開します。

    • オプション 2: ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (認証情報)] を選択します。必要に応じて、[セキュリティ認証情報に進む] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

      
                ナビゲーションメニューの [認証情報]
  3. 前のステップで選択したオプションに応じて、[MFA の管理] または [MFA の有効化] を選択します。

  4. ウィザードで、[仮想 MFA デバイス]、[Continue (続行)] の順に選択します。

  5. 仮想 MFA アプリがデバイスにインストールされていることを確認し、[Continue (続行)] を選択します。IAM によって仮想 MFA デバイスの設定情報 (QR コードなど) が生成されて表示されます。図は、QR コードに対応していないデバイスでの手動入力に利用できるシークレット設定キーを示しています。

  6. [MFA デバイスの管理] ウィザードが開いている状態で、仮想 MFA アプリをデバイスで起動します。

  7. 仮想 MFA ソフトウェアが複数のアカウント (複数の仮想 MFA デバイス) をサポートしている場合は、新しいアカウント (新しい仮想 MFA デバイス) を作成するオプションを選択します。

  8. QR コードをスキャンするアプリを使用してアプリを設定するのが最も簡単な方法です。QR コードに対応していない場合には、設定情報を手入力します。

    • QR コードを使用して仮想 MFA デバイスを設定するには、ウィザードで [Show QR code (QR コードの表示)] を選択します。その後、アプリの指示に従ってコードをスキャンします。たとえば、カメラアイコンをタップするか、[Scan account barcode (アカウントバーコードのスキャン)] のようなコマンドをタップし、デバイスのカメラを使用してコードを QR スキャンする場合があります。

    • [MFA デバイスの管理] ウィザードで [手動設定のシークレットキーを表示] を選択し、MFA アプリにシークレット設定キーを入力します。

    重要

    QR コードまたはシークレット設定キーの安全なバックアップを作成するか、アカウント用の複数の仮想 MFA デバイスを有効にしていることを確認します。たとえば仮想 MFA デバイスがホストされているスマートフォンを紛失した場合などは、仮想 MFA デバイスが使用できなくなる可能性があります。その場合はアカウントにサインインできなくなり、カスタマー サービスに連絡してアカウントの MFA 保護を解除する必要があります。

    注記

    IAM によって生成された QR コードやシークレット設定キーはお客様の AWS アカウントに関連付けられており、別のアカウントでは使用できません。ただし、元の MFA デバイスが利用できなくなった場合に、これらの情報を再利用してアカウントの新しい MFA デバイスを設定できます。

    デバイスは 6 桁の数字の生成を開始します。

  9. [MFA デバイスの管理] ウィザードの [MFA Code 1 (MFA コード 1)] ボックスに、MFA デバイスに表示されている 6 桁の数字を入力します。次にデバイスが新しい数字を生成するまで 30 秒ほど待ち、表示された新しい 6 桁の数字を [MFA Code 2 (MFA コード 2)] ボックスに入力します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

  10. [Assign MFA (MFA の割り当て)]、[完了] の順に選択します。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

仮想 MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。