MFA とは何ですか?

AWS 多要素認証 (MFA) は AWS Identity and Access Management (IAM) のベストプラクティスで、ユーザー名とパスワードのログイン認証情報に加えて 2 つ目の認証要素を必要とします。MFA は AWS アカウントレベルで、またアカウントで作成したルートユーザーと IAM ユーザーに対して有効にできます。 
 
AWS は無料の MFA セキュリティキープログラムの対象者を拡大しています。資格を確認して、無料の MFA キーをリクエストしてください。
 
MFA を有効にすると、ユーザーが AWS マネジメントコンソールにサインインするときに、ユーザー名とパスワード ( 自分が知っているもの) と、MFA デバイスからの認証コード ( 自分が持っているもの) (または、生体認証対応の認証システムを使用している場合は、 自分の生体情報) の入力が求められます。これらの要因を組み合わせると、AWS アカウントとリソースのセキュリティが向上します。
 
AWS にアクセスする際には、人間のユーザーに一時的な認証情報の使用を義務付けることをお勧めします。ユーザーは ID プロバイダーを使用して AWS にフェデレーションし、企業認証情報と MFA 設定で認証できます。AWS とビジネスアプリケーションへのアクセスを管理するには、 AWS IAM アイデンティティセンターを使用することをお勧めします。詳細については、「 IAM アイデンティティセンターの前提条件」を参照してください。
 
次の MFA オプションは、IAM MFA の実装でご利用いただけます。提供されているリンクから仮想認証アプリケーションをダウンロードできます。あるいは、各メーカーからハードウェア MFA デバイスを入手することも可能です。サポート対象の仮想またはハードウエア MFA デバイスを取得した後、MFA の使用に対し追加料金は発生しません。

IAM で利用できる MFA メソッド

MFA デバイスは IAM コンソールで管理できます。次のオプションは、IAM がサポートする MFA メソッドです。

パスキーとセキュリティキー

パスキーとセキュリティキーは FIDO 標準に基づいており、ユーザーの複数のデバイスでより簡単かつ安全にサインインできます。FIDO 認証標準はパブリックキー暗号に基づいているため、パスワードよりも安全な、強固でフィッシングに強い認証が可能になります。パスキーは、iCloud キーチェーン、Google パスワードマネージャー、1Password、Dashlane などの任意のパスキープロバイダーで、指紋、顔、またはデバイスの PIN を使用して作成され、AWS でのサインインのために複数のデバイスで同期されます。また、お客様は、Yubico などのサードパーティープロバイダーが提供する、デバイスにバインドされたパスキー (セキュリティキーとも呼ばれます) を使用することもできます。FIDO Alliance は、FIDO 規格に適合するすべての FIDO 認定製品のリストを管理しています。FIDO セキュリティキーは、1 つのセキュリティキーを使用して複数のルートアカウントと IAM ユーザーをサポートできます。パスキーとセキュリティキーは、Sinnet が運営する AWS 中国 (北京) リージョンと NWCD が運営する AWS (寧夏) リージョンを除くすべての AWS リージョンで、ルートユーザーと IAM ユーザーのためにサポートされています。FIDO セキュリティキーの有効化の詳細については、「パスキーまたはセキュリティキーの有効化」を参照してください。

AWS は、適格な米国の AWS アカウント所有者に、無料の MFA セキュリティキーを提供しています。適格性を確認してキーをリクエストするには、Security Hub コンソールをご覧ください。

仮想認証アプリケーション

仮想認証アプリケーションは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムを実装し、1 つのデバイスで複数のトークンをサポートします。仮想認証システムのサポート対象は、AWS GovCloud (米国) リージョンおよびその他の AWS リージョンの IAM ユーザーです。仮想認証システムの有効化の詳細については、「仮想多要素認証 (MFA) デバイスの有効化」を参照してください。

スマートフォン用のアプリケーションは、お使いのスマートフォンのタイプに応じたアプリストアからインストールできます。一部のアプリケーションプロバイダーは、ウェブアプリケーションとデスクトップアプリケーションも提供しています。次の表を参照してください。

Android Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP
iOS Twilio Authy AuthenticatorDuo MobileMicrosoft AuthenticatorGoogle AuthenticatorSymantec VIP

ハードウェア TOTP トークン

ハードウェアトークンは TOTP アルゴリズムもサポートしており、サードパーティープロバイダーである Thales が提供しています。 このトークンは AWS アカウントでのみ使用できます。詳細については、ハードウェア MFA デバイスの有効化を参照してください。

AWS との互換性を確保するには、このページのリンクから MFA トークンを購入する必要があります。他のソースから購入したトークンは IAM では機能しない可能性があります。AWS では固有の「トークンシード」、つまりトークンの作成時に生成されるシークレットキーが必要だからです。このページのリンクを通じて購入されたトークンのみが、トークンシードを AWS と安全に共有します。MFA トークンは、OTP トークンOTP ディスプレイカードの 2 つの形式で提供されます。

AWS GovCloud (米国) リージョンのハードウェア TOTP トークン

ハードウェア TOTP トークンは AWS GovCloud (米国) リージョンと互換性があり、サードパーティプロバイダーの Hypersecu によって提供されます。このトークンは、AWS GovCloud (米国) アカウントを持つ IAM ユーザーのみが使用できます。

AWS との互換性を確保するには、このページのリンクから MFA トークンを購入する必要があります。他のソースから購入したトークンは IAM では機能しない可能性があります。AWS では固有の「トークンシード」、つまりトークンの作成時に生成されるシークレットキーが必要だからです。このページのリンクを通じて購入されたトークンのみが、トークンシードを AWS と安全に共有します。MFA トークンは OTP トークン形式で提供されます。