IAM Identity Center で MFA を有効化する - AWS IAM Identity Center
ユーザーに MFA を求めるMFA を無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center で MFA を有効化する

多要素認証 (MFA) を有効にすることで、AWS アクセスポータル、IAM Identity Center の統合アプリ、および 多要素認証 (MFA)を有効にすることで AWS CLI へのアクセスの安全性を強化することができます。

ユーザーに MFA を求める

以下の手順で、 IAM Identity Center コンソールを使って MFA を有効化します。開始する前に、IAM Identity Center で使用可能な MFA タイプ を理解することをお勧めします。

注記

外部の IdP を使用している場合は、[多要素認証] の項目は表示されません。MFA 設定を IAM Identity Center が管理するのではなく、外部の IdP が管理します。

MFA を有効にするには

  1. IAM Identity Center コンソール を開きます。

  2. 左のナビゲーションペインの [設定] を選択します。

  3. 設定」 ページで、「認証」タブを選択します。

  4. [多要素認証] セクションで、[設定] を選択します。

  5. [多要素認証を設定] ページの [MFA のプロンプトをユーザーに表示] で、ビジネスに必要なセキュリティのレベルに基づいて、次の認証モードのいずれかを選択します。

    • サインインコンテキストが変更された場合のみ (context-aware)

      このモード (デフォルト) では、IAM Identity Center はサインイン中にデバイスを信頼するオプションをユーザーに提供します。ユーザーがデバイスを信頼することを表明すると、IAM Identity Center はユーザーに MFA の入力を一度要求し、ユーザーが次にサインインする際のサインインコンテキスト (デバイス、ブラウザ、場所など) を分析します。後続のサインインでは、IAM Identity Center は、ユーザーが以前に信頼されたコンテキストでサインインしているかどうかを判断します。ユーザーのサインインコンテキストが変更されると、IAM Identity Center はユーザーに E メールアドレスとパスワードの認証情報に加えて MFA の入力を求めます。

      このモードでは、職場から頻繁にサインインするユーザーが使いやすく、サインインのたびに MFA を完了する必要はありません。サインインコンテキストが変更された場合にのみ MFA を要求されます。

    • サインインごと (常時オン)

      このモードでは、 IAM Identity Center は、登録された MFA デバイスを持つユーザーがサインインごとにプロンプトを表示することを要求します。このモードは、ユーザーが AWS アクセスポータルにサインインするごとに MFA を完了することを、組織ポリシーまたはコンプライアンスポリシーで定めている場合に使用します。例えば、PCI DSS は、高リスクの支払取引をサポートするアプリケーションにアクセスする際のすべてのサインイン時に MFA を使用することを強く推奨しています。

    • なし (無効)

      このモードでは、すべてのユーザーが標準のユーザー名とパスワードのみでサインインします。このオプションを選択すると、IAM Identity Center MFA を無効にします。

      注記

      既に AWS Directory Service で RADIUS MFA を使用しており、今後もデフォルトの MFA タイプとして使用したい場合は、認証モードを無効のままにしておくと、IAM Identity Center の MFA 機能をバイパスできます。Disabled (無効) モードから Context-aware または Always-on モードに変更すると、既存の RADIUS MFA 設定が上書きされます。詳細については、「RADIUS MFA」を参照してください。

  6. [変更の保存] を選択します。

    関連トピック

IAM Identity Center ディレクトリの MFA を無効化

IAM Identity Center ディレクトリの多要素認証 (MFA) を無効にすると、ユーザーは標準のユーザー名とパスワードのみでサインインできるようになります。ユーザーの Identity Center ディレクトリでは MFA が無効になっていますが、ユーザー詳細で MFA デバイスを管理することはできません。また、Identity Center ディレクトリのユーザーは AWS アクセスポータルから MFA デバイスを管理できません。

IAM Identity Center ディレクトリの MFA を無効化するには
重要

このセクションの手順は AWS IAM Identity Center に適用されます。これらは AWS Identity and Access Management (IAM) には適用されません。IAM Identity Center ユーザー、グループ、およびユーザー認証情報は、IAM ユーザー、グループ、IAM ユーザー認証情報とは異なります。IAM ユーザーの MFA を無効化する手順をお探しの場合は、AWS Identity and Access Managementユーザーガイドの「MFA デバイスの無効化」を参照してください。

  1. IAM Identity Center コンソール を開きます。

  2. 左のナビゲーションペインの [設定] を選択します。

  3. 設定」 ページで、「認証」タブを選択します。

  4. [多要素認証] セクションで、[設定] を選択します。

  5. 多要素認証を設定」ページの「MFA のプロンプトをユーザーに表示」セクションで、「なし (無効)」のラジオボタンを選択します。

  6. [変更の保存] を選択します。