多要素認証

セキュリティ強化のために、AWS アカウントおよび IAM ユーザーに 2 要素認証を追加できます。多要素認証 (MFA) を有効にすると、AWS マネジメントコンソールにサインインしたときに、ユーザー名とパスワード (第 1 要素)、および AWS MFA デバイスからの認証応答 (第 2 要素) の入力を求められます。MFA は AWS アカウントに対して有効にすることも、そのアカウント内に作成した IAM ユーザーに対して個別に有効にすることも可能です。MFA を使用して AWS サービス API へのアクセスをコントロールすることもできます。

例えば、Amazon EC2 のすべての AWS API オペレーションへのフルアクセスを許可する一方、ユーザーが MFA で認証されていない場合はStopInstances や TerminateInstances などの特定の API オペレーションへのアクセスを明示的に拒否するように、ポリシーを定義できます。

        {
         “Version”: “2012-10-17”,
         “Statement”: [
             {
                “Sid”: “AllowAllActionsForEC2”,
                “Effect”: “Allow”,
                “Action”: “ec2:*”,
                “Resource”: “*”
             },
            {
                “Sid”: “DenyStopAndTerminateWhenMFAIsNotPResent”,
                “Effect”: “Deny”,
                “Action”: [
                    “ec2:StopInstances”,
                    “ec2:TerminateInstances”
               ],
               “Resource”: “*”,
               “Conditions”: {
                   “BoolIfExists”: {“aws:MultiFactorAuthPresent”:false}
                }
            }
       }
}
    

Amazon S3 バケットにさらにセキュリティレイヤーを追加するには、MFA Delete を設定することができます。MFA Delete は、バケットのバージョニング状態を変更してオブジェクトバージョンを完全に削除するために、追加の認証を必要とします。また、セキュリティ認証情報の侵害発生時のセキュリティを強化します。

MFA Delete を使用するために、認証コードの生成にはハードウェアまたは仮想 MFA デバイスを使用できます。サポートされているハードウェアまたは仮想 MFA デバイスのリストについては、多要素認証のページを参照してください。