の多要素認証の有効化AWSManaged Microsoft AD - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の多要素認証の有効化AWSManaged Microsoft AD

では、多要素認証 (MFA) を有効にすることができますAWSユーザーがにアクセスするための AD 認証情報を指定するときのセキュリティが強化される、管理された Microsoft AD ディレクトリサポートされている Amazon Enterprise アプリケーション。MFA を有効にすると、ユーザーはいつものようにユーザー名とパスワード (第 1 要素) を入力した後、仮想 MFA ソリューションまたはハードウェア MFA ソリューションから取得する認証コード (第 2 要素) も入力する必要があります。これらの要素によって、ユーザーが有効なユーザー認証情報と MFA コードを提供しない限り Amazon エンタープライズアプリケーションにアクセスできないというセキュリティが追加されます。

MFA を有効にするには、MFA ソリューションが必要です。リモート認証ダイヤルインユーザーサービス(RADIUS) サーバー、または、オンプレミスのインフラストラクチャで実装済みの RADIUS サーバーへの MFA プラグインが必要です。MFA ソリューションでは、ユーザーがハードウェアデバイスから取得するか、または携帯電話などのデバイスで実行されるソフトウェアから取得する、ワンタイムパスコード (OTP) を実装する必要があります。

RADIUS は、業界標準のクライアント/サーバープロトコルであり、ユーザーをネットワークサービスに接続するための認証、権限付与、アカウント管理が可能です。AWS管理対象 Microsoft AD には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアントが付属しています。RADIUS サーバーはユーザー名と OTP コードを検証します。RADIUS サーバがユーザの検証に成功すると、AWSManaged Microsoft AD は、AD に対してユーザーを認証します。AD 認証に成功すると、ユーザはAWSアプリケーションをデプロイします。間でのコミュニケーションAWS管理対象の Microsoft AD RADIUS クライアントと RADIUS サーバーでは、構成が必要ですAWSポート 1812 を介した通信を有効にするセキュリティグループ。

の MFAC 認証を有効にすることができますAWS次の手順を実行して Microsoft AD ディレクトリを管理しました。AWS Directory Service および MFA を操作して、RADIUS サーバーを設定する方法の詳細については、「多要素認証の前提条件」を参照してください。

注記

多要素認証は、Simple AD では使用できません。ただし、MFA は AD Connector ディレクトリでは有効にすることができます。詳細については、「AD Connector の多要素認証を有効にする」を参照してください。

注記

MFAは地域の特徴ですAWSManaged Microsoft AD。を使用している場合マルチリージョンレプリケーションでは、各リージョンで以下の手順を個別に適用する必要があります。詳細については、「グローバル機能とリージョナル機能」を参照してください。

の MFA 認証を有効にするにはAWSManaged Microsoft AD

  1. RADIUS MFA サーバーの IP アドレスを特定し、AWSManaged Microsoft AD ディレクトリ。

  2. Virtual Private Cloud (VPC) セキュリティグループを編集して、間のポート 1812 を介した通信を有効にします。AWSMicrosoft AD IP エンドポイントと RADIUS MFA サーバーを管理しました。

  3. AWS Directory Serviceconsoleナビゲーションペインで [] を選択します。ディレクトリ

  4. のディレクトリ ID リンクを選択します。AWSManaged Microsoft AD ディレクトリ。

  5. リポジトリの []ディレクトリの詳細[] ページで、次のいずれかを実行します。

    • 下に複数のリージョンが表示されている場合マルチリージョンレプリケーションで、MFA を有効にするリージョンを選択し、ネットワーキングとセキュリティタブ 詳細については、「プライマリリージョンと追加リージョン」を参照してください。

    • 下にリージョンがない場合はマルチリージョンレプリケーションで、ネットワーキングとセキュリティタブ。

  6. [多要素認証] セクションで、[アクション]、[有効化] の順に選択します。

  7. [多要素認証 (MFA) の有効化] ページで、以下の値を指定します。

    表示ラベル

    ラベル名を指定します。

    RADIUS サーバーの DNS 名または IP アドレス

    RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (たとえば、192.0.0.0,192.0.0.12)。

    注記

    RADIUS MFA は、へのアクセスの認証にのみ適用されます。AWS Management Console、または WorkSpaces、Amazon QuickSight、Amazon Chime などの Amazon Enterprise アプリケーションとサービスに送信します。EC2 インスタンス上で実行されている、または EC2 インスタンスにサインインするための Windows ワークロードに MFA を入力することはありません。 AWS Directory Service では、RADIUS チャレンジ/レスポンス認証はサポートされていません。

    ユーザーは、ユーザー名とパスワードを入力するときに、MFA コードを持っている必要があります。または、ユーザーの SMS テキストの検証など、MFA 帯域外を実行するソリューションを使用する必要があります。帯域外 MFA ソリューションでは、ソリューションに合わせて RADIUS タイムアウト値を適切に設定する必要があります。帯域外 MFA ソリューションを使用している場合、ユーザーはサインインページで MFA コードの入力を求められます。この場合、ユーザーはパスワードフィールドと MFA フィールドの両方に自分のパスワードを入力する必要があります。

    ポート

    RADIUS サーバーが通信のために使用しているポート。オンプレミスネットワークで、AWS Directory Service サーバーからのデフォルトの RADIUS サーバーポート (UDP: 1812) を介した受信トラフィックが許可されている必要があります。

    [Shared secret code]

    RADIUS エンドポイントの作成時に指定された共有シークレットコード。

    [共有シークレットコードの確認]

    RADIUS エンドポイントの共有シークレットコードを確認します。

    プロトコル

    RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。

    サーバータイムアウト (秒単位)

    RADIUS サーバーのレスポンスを待つ時間(秒)。これは 1~50 の範囲の値にする必要があります。

    RADIUS リクエストの最大再試行数

    RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。

    多要素認証は、[RADIUS Status] が [Enabled] に変わると使用できます。

  8. [有効] を選択します。

サポートされている Amazon Enterprise アプリケーション

WorkSpaces、Amazon WorkDocs、Amazon WorkMail、Amazon QuickSight、およびアクセスを含むすべての Amazon エンタープライズ IT アプリケーションAWSシングルサインオンおよびAWS Management Consoleは、の使用時にサポートされます。AWSMFA を使用してManaged Microsoft AD と AD Connector。

AWS Directory Serviceを使用して、Amazon エンタープライズアプリケーション、 AWS シングルサインオン、AWS Management Console への基本的なユーザーアクセスを設定する方法については、「へのアクセス権の付与AWSアプリケーションとサービス」および「へのアクセスを有効にするAWS Management ConsoleAD クレデンシャルで」を参照してください。

関連AWSセキュリティブログの記事