多要素認証 (MFA) デバイスで構成されているユーザーは、MFA デバイスを使用して AWS Management Console にサインインする必要があります。ユーザーがサインイン認証情報を入力した後、AWS はそのユーザーのアカウントを調べ、そのユーザーに MFA が必要かどうかを確認します。
重要
AWS STS GetFederationToken
API コールでの AWS Management Consoleへの直接アクセスにアクセスキーとシークレットキーの認証情報を使用する場合、MFA は必要ありません。詳細については、「コンソールアクセスでのアクセスキーとシークレットキー認証情報の使用」を参照してください。
以下のトピックでは、MFA が必要なときにユーザーがサインインを完了する方法について説明します。
複数の MFA デバイスが有効になっている
ユーザーが AWS アカウント で複数の MFA デバイスを有効にした状態で、そのアカウントのルートユーザーまたは IAM ユーザーとして AWS Management Console にログインする場合でも、サインインに必要な MFA デバイスは 1 台のみです。パスワードによる認証を行ったユーザーは、使用する MFA デバイスタイプを選択し認証を完了します。その後、ユーザーは、選択したタイプのデバイスを使用した認証を求められます。
FIDO セキュリティキー
MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。ユーザーは FIDO セキュリティキーをタップする必要があります。
注記
Google Chrome をお使いの方は、[Verify your identity with amazon.com] (amazon.comで本人確認をしてください) と要求するポップアップが表示されますが、いずれのオプションも選択しないようにしてください。セキュリティキーをタップするだけでよいのです。
他の MFA デバイスとは異なり、FIDO のセキュリティキーは同期しなくなります。管理者は、FIDO セキュリティキーを紛失したり壊れたりした場合、そのキーを無効にすることができます。詳細については、「MFA デバイスの無効化 (コンソール)」を参照してください。
WebAuthn をサポートするブラウザーおよび、AWS がサポートする FIDO 対応デバイスについては、「パスキーとセキュリティキーを使用するためのサポートされる設定」を参照してください。
仮想 MFA デバイス
MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。[MFA code (MFA コード)] ボックスに、ユーザーは MFA アプリケーションから提供される数値コードを入力する必要があります。
MFA コードが正しい場合、ユーザーは AWS Management Console にアクセスできます。このコードが間違っていると、ユーザーは別のコードで再試行できます。
仮想 MFA デバイスが同期しなくなることがあります。ユーザーが AWS Management Console へのサインインを何度か試みて失敗した場合、仮想 MFA デバイスを同期するよう求められます。ユーザーは画面の指示に従って仮想 MFA デバイスを同期できます。お客様の AWS アカウント のユーザーに代わってデバイスを同期する方法については、「仮想 MFA デバイスとハードウェア MFA デバイスを再同期する」を参照してください。
ハードウェア TOTP トークン
MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。ユーザーは、[MFA code] (MFA コード) ボックスに、ハードウェア TOTP トークンから提供される数値コードを入力する必要があります。
MFA コードが正しい場合、ユーザーは AWS Management Console にアクセスできます。このコードが間違っていると、ユーザーは別のコードで再試行できます。
ハードウェア TOTP トークンは、同期から外れることはありません。AWS Management Console へのサインインが、複数回連続して失敗したユーザーに対しては、MFA トークンデバイスと同期するように求められます。ユーザーは画面の指示に従って MFA トークンデバイスを同期できます。お客様の AWS アカウント のユーザーに代わってデバイスを同期する方法については、「仮想 MFA デバイスとハードウェア MFA デバイスを再同期する」を参照してください。