FIDO セキュリティキーを使用するためのサポートされる設定 - AWS Identity and Access Management

FIDO セキュリティキーを使用するためのサポートされる設定

現在サポートされている設定を使用して、IAM で FIDO2 セキュリティキーを多要素認証 (MFA) メソッドとして使用できます。これには、IAM でサポートされている FIDO2 デバイスや、FIDO2 をサポートしているブラウザなどが含まれます。FIDO2 デバイスを登録する前に、お使いのブラウザとオペレーティングシステム (OS) のバージョンが最新であることを確認してください。機能の動作は、ブラウザ、認証システム、および OS クライアントによって異なる場合があります。あるブラウザでデバイスの登録に失敗した場合は、別のブラウザで登録を試みることができます。

AWS でサポートされている FIDO2 デバイス

IAM では、USB、Bluetooth、または NFC 経由でデバイスに接続する FIDO2 セキュリティデバイスをサポートしています。TouchID、FaceID、Windows Hello などのプラットフォーム向け認証機能はサポートされていません。

注記

AWS は、FIDO2 デバイスを検証するためにコンピュータの物理的 USB ポートにアクセスする必要があります。MFA セキュリティキーは、仮想マシン、リモート接続、またはブラウザのシークレットモードでは機能しません。

FIDO アライアンスでは、FIDO 仕様と互換性のあるすべての FIDO2 製品のリストを公開しています。

FIDO2 をサポートするブラウザ

ウェブブラウザで実行される FIDO2 セキュリティデバイスの可用性は、ブラウザとオペレーティングシステムの組み合わせによって異なります。現在、以下のブラウザで FIDO2 セキュリティキーの使用がサポートされています。

macOS 10.15+ Windows 10 Linux IOS 14.5 以降 Android 7 以降
Chrome はい はい はい はい いいえ
Safari はい いいえ いいえ はい いいえ
Edge はい はい いいえ はい いいえ
Firefox はい はい いいえ はい いいえ
注記

現在、FIDO2 をサポートしている Firefox のほとんどのバージョンでは、デフォルト状態で、そのサポートが有効になっていません。Firefox で FIDO2 のサポートを有効にする手順については、「FIDO セキュリティキーのトラブルシューティング」を参照してください。

FIDO2 認定デバイスのブラウザのサポート (YubiKey など) については、「Operating system and web browser support for FIDO2 and U2F」(FIDO2 および U2F のオペレーティングシステムとウェブブラウザのサポート) を参照してください。

ブラウザプラグイン

AWS は、FIDO2 をネイティブにサポートするブラウザのみをサポートしています。AWS は FIDO2 ブラウザのサポートを追加するためのプラグインの使用をサポートしていません。一部のブラウザプラグインは FIDO と互換性がなく、FIDO2 セキュリティキーで予期しない結果が生じることがあります。

ブラウザプラグインの無効化やその他のトラブルシューティングのヒントについては、「FIDO セキュリティキーを有効にできない」を参照してください。

デバイス証明書

FIPS 検証や FIDO 証明書レベルなど、デバイス関連の証明書を取得して割り当てできるのは、FIDO セキュリティキーの登録時だけです。デバイス証明書は FIDO Alliance Metadata Service (MDS) から取得できます。FIDO セキュリティキーの証明書ステータスまたはレベルが変更されても、デバイスタグに自動的に反映されることはありません。デバイスの証明書情報を更新するには、デバイスを登録し直して、更新された証明書情報を取得します。

AWS では、FIDO MDS から取得したデバイス登録時の条件キーとして、FIPS-140-2、FIPS-140-3、および FIDO 証明書レベルの証明書タイプが用意されています。希望する証明書タイプとレベルに基づいて、IAM ポリシーに特定の認証者の登録を指定できます。詳細については、以下のポリシーを参照してください。

デバイス証明書のポリシーの例

以下のユースケースは、FIPS 証明書を持つ MFA デバイスを登録できるようにするサンプルポリシーを示しています。

ユースケース 1: FIPS-140-2 L2 証明書を持つデバイスのみの登録を許可する

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } } ] }

ユースケース 2: FIPS-140-2 L2 および FIDO L1 証明書を持つデバイスの登録を許可する

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2", "iam:FIDO-certification": "L1" } } } ] }

ユースケース 3: FIPS-140-2 L2 または FIPS-140-3 L2 証明書を持つデバイスの登録を許可する

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey" : "Activate", "iam:FIDO-FIPS-140-3-certification": "L2" } } } ] }

ユースケース 4: FIPS-140-2 L2 認証を持ち、仮想認証システムやハードウェア TOTP などのその他の種類の MFA をサポートするデバイスの登録を許可する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Create" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "StringEquals": { "iam:RegisterSecurityKey": "Activate", "iam:FIPS-140-2-certification": "L2" } } }, { "Effect": "Allow", "Action": "iam:EnableMFADevice", "Resource": "*", "Condition": { "Null": { "iam:RegisterSecurityKey": "true" } } } ] }

AWS CLI および AWS API

AWS は、FIDO2 セキュリティキーの使用を AWS Management Consoleでのみサポートしています。MFA に対する FIDO2 セキュリティキーの使用は AWS CLIAWS API ではサポートされていません。また、MFA 保護 API オペレーションへのアクセスでもサポートされていません。

追加リソース