仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール) - AWS Identity and Access Management

仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)

電話や他のデバイスを仮想多要素認証 (MFA) デバイスとして使用できます。これを行うには、標準ベースの TOTP (時刻ベースのワンタイムパスワード) アルゴリズムである RFC 6238 に準拠するモバイルアプリをインストールします。これらのアプリは、6 桁の認証コードを生成します。これらはセキュリティ保護されていないモバイルデバイス上で実行できるため、仮想 MFA は U2F デバイスまたはハードウェア MFA デバイスと同じレベルのセキュリティが適用されない場合があります。ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。

一般的な仮想 MFA アプリでは、複数の仮想デバイスの作成がサポートされているため、複数の AWS アカウントまたはユーザーに対しても同じアプリを使用できます。ただし、ユーザーごとに有効にできる MFA デバイスは 1 つのみです。

使用できる仮想 MFA アプリケーションのリストについては、「多要素認証」を参照してください。AWS では、6 桁の OTP を生成する仮想 MFA アプリが必要です。

必要なアクセス許可

IAM ユーザーの仮想 MFA デバイスを更新するには、次のポリシーのアクセス許可が必要です。AWS: MFA で認証された IAM ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分の MFA デバイスを管理できるようにします。

IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)

AWS マネジメントコンソール で IAM を使用して、アカウントの IAM ユーザーの仮想 MFA デバイスを有効化および管理することができます。AWS CLI または AWS API を使用して、MFA デバイスを有効化および管理するには、「仮想 MFA デバイスの有効化と管理 (AWS CLI または AWS API)」を参照してください。

注記

MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。たとえば、スマートフォンで実行される仮想 MFA デバイスを使用するユーザー用に MFA を設定するとします。その場合、ウィザードを完了するには、そのスマートフォンを利用できる必要があります。このため、ユーザーが自分の仮想 MFA デバイスを構成して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。この権限を付与する IAM ポリシーの詳細および例については、「AWS: MFA で認証された IAM ユーザーが [My Security Credentials (セキュリティ認証情報)] ページで自分の MFA デバイスを管理できるようにします。」を参照してください。

IAM ユーザーの仮想 MFA デバイスを有効にするには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー] を選択します。

  3. [ユーザー名] リストから対象の MFA ユーザーの名前を選択します。

  4. [Security credentials] タブを選択します。[Assigned MFA device (割り当て済み MFA デバイス)] の横で、[管理] を選択します。

  5. [MFA デバイスの管理] ウィザードで、[仮想 MFA デバイス]、[Continue (続行)] の順に選択します。

    IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できる「シークレット設定キー」を示しています。

  6. 仮想 MFA アプリを開きます。仮想 MFA デバイスをホストするために使用できるアプリケーションのリストについては、「多要素認証」を参照してください。

    仮想 MFA アプリが複数の仮想 MFA デバイスまたはアカウントをサポートしている場合は、新しい仮想 MFA デバイスまたはアカウントを作成するオプションを選択します。

  7. MFA アプリが QR コードをサポートしているかどうかを確認してから、次のいずれかを実行します。

    • ウィザードから [Show QR code (QR コードの表示)] を選択し、アプリを使用して QR コードをスキャンします。たとえば、カメラアイコンまたは [Scan code (スキャンコード)] に似たオプションを選択し、デバイスのカメラを使用してコードをスキャンします。

    • [MFA デバイスの管理] ウィザードで [手動設定のシークレットキーを表示] を選択し、MFA アプリにシークレット設定キーを入力します。

    これで仮想 MFA デバイスはワンタイムパスワードの生成を開始します。

  8. [MFA デバイスの管理] ウィザードの [MFA code 1 (MFA コード 1)] ボックスに、現在仮想 MFA デバイスに表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます (最長 30 秒)。生成されたら [MFA code 2 (MFA コード 2)] ボックスに 2 つ目のワンタイムパススワードを入力します。[Assign MFA (MFA の割り当て)] を選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

これで仮想 MFA デバイスを AWS で使用できます。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

お使いの AWS アカウントのルートユーザーの仮想 MFA デバイスを有効にする (Console)

AWS マネジメントコンソール を使用して、ルートユーザー の仮想 MFA デバイスを設定して有効にすることができます。AWS アカウントの MFA デバイスを有効にするには、ルートユーザー 認証情報を使用して AWS にサインインしている必要があります。

ルートユーザー の MFA を有効にする前に、アカウント設定と連絡先情報をチェックして、E メールと電話番号にアクセスできることを確認してください。MFA デバイスが紛失したり、盗難にあったり、機能しなくなったりしても、その E メールと電話番号を使用してアイデンティティを確認することで、ルートユーザー としてサインインできます。代替の認証エレメントを使用してログインする方法については、「MFA デバイスの紛失および故障時の対応」を参照してください。

仮想 MFA デバイスを設定および有効化して ルートユーザー で使用するには (コンソール)

  1. AWS マネジメントコンソール にサインインします。

  2. ナビゲーションバーの右側で、使用するアカウント名を選択し、[My Security Credentials (認証情報)] を選択します。必要に応じて、[セキュリティ認証情報に進む] を選択します。次に、ページの [Multi-Factor Authentication (MFA)] セクションを展開します。

    
                  ナビゲーションメニューの [認証情報]
  3. [MFA の有効化] を選択します。

  4. ウィザードで、[仮想 MFA デバイス]、[Continue (続行)] の順に選択します。

    IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できるシークレット設定キーを示しています。

  5. デバイスで仮想 MFA アプリを開きます。

    仮想 MFA アプリが複数の仮想 MFA デバイスまたはアカウントをサポートしている場合は、新しい仮想 MFA デバイスまたはアカウントを作成するオプションを選択します。

  6. QR コードをスキャンするアプリを使用してアプリを設定するのが最も簡単な方法です。QR コードに対応していない場合には、設定情報を手入力します。IAM によって生成された QR コードやシークレット設定キーはお客様の AWS アカウントに関連付けられており、別のアカウントでは使用できません。ただし、元の MFA デバイスが利用できなくなった場合に、これらの情報を再利用してアカウントの新しい MFA デバイスを設定できます。

    • QR コードを使用して仮想 MFA デバイスを設定するには、ウィザードで [Show QR code (QR コードの表示)] を選択します。その後、アプリの指示に従ってコードをスキャンします。たとえば、カメラアイコンや [Scan account barcode] のようなコマンドを選択し、デバイスのカメラを使用してコードを QR スキャンする場合があります。

    • [MFA デバイスの管理] ウィザードで [手動設定のシークレットキーを表示] を選択し、MFA アプリにシークレット設定キーを入力します。

    重要

    QR コードまたはシークレット設定キーの安全なバックアップを作成するか、アカウント用の複数の仮想 MFA デバイスを有効にしていることを確認します。たとえば仮想 MFA デバイスがホストされているスマートフォンを紛失した場合などは、仮想 MFA デバイスが使用できなくなる可能性があります。その場合はアカウントにサインインできなくなり、カスタマー サービスに連絡してアカウントの MFA 保護を解除する必要があります。

    デバイスは 6 桁の数字の生成を開始します。

  7. [MFA デバイスの管理] ウィザードの [MFA Code 1 (MFA コード 1)] ボックスに、MFA デバイスに表示されている 6 桁の数字を入力します。次にデバイスが新しい数字を生成するまで 30 秒ほど待ち、表示された新しい 6 桁の数字を [MFA Code 2 (MFA コード 2)] ボックスに入力します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、時刻ベースのワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。

  8. [Assign MFA (MFA の割り当て)]、[完了] の順に選択します。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「IAM のサインインページでの MFA デバイスの使用」を参照してください。

仮想 MFA デバイスの交換または「更新」

一度にユーザーに割り当てることができるのは、1 つの MFA デバイスのみです。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合、最初に古いデバイスを非アクティブ化する必要があります。その後、新しいデバイスをユーザーに追加できます。