# MFA 対応のサインイン
<a name="console_sign-in-mfa"></a>

[多要素認証 (MFA)](id_credentials_mfa.md) デバイスで構成されているユーザーは、MFA デバイスを使用して AWS マネジメントコンソール にサインインする必要があります。ユーザーがサインイン認証情報を入力した後、AWS はそのユーザーのアカウントを調べ、そのユーザーに MFA が必要かどうかを確認します。

**重要**  
AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) API コールでの AWS マネジメントコンソールへの直接アクセスにアクセスキーとシークレットキーの認証情報を使用する場合、MFA は必要ありません。詳細については、「[コンソールアクセスでのアクセスキーとシークレットキー認証情報の使用](securing_access-keys.md#console-access-security-keys)」を参照してください。

以下のトピックでは、MFA が必要なときにユーザーがサインインを完了する方法について説明します。

**Topics**
+ [複数の MFA デバイスが有効になっている](#console_sign-in-multiple-mfa)
+ [FIDO セキュリティキー](#console_sign-in-mfa-fido)
+ [仮想 MFA デバイス](#console_sign-in-mfa-virtual)
+ [ハードウェア TOTP トークン](#console_sign-in-mfa-hardware)

## 複数の MFA デバイスが有効になっている
<a name="console_sign-in-multiple-mfa"></a>

ユーザーが AWS アカウント で複数の MFA デバイスを有効にした状態で、そのアカウントのルートユーザーまたは IAM ユーザーとして AWS マネジメントコンソール にログインする場合でも、サインインに必要な MFA デバイスは 1 台のみです。パスワードによる認証を行ったユーザーは、使用する MFA デバイスタイプを選択し認証を完了します。その後、ユーザーは、選択したタイプのデバイスを使用した認証を求められます。

## FIDO セキュリティキー
<a name="console_sign-in-mfa-fido"></a>

MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。ユーザーは FIDO セキュリティキーをタップする必要があります。

**注記**  
Google Chrome をお使いの方は、**[Verify your identity with amazon.com]** (amazon.comで本人確認をしてください) と要求するポップアップが表示されますが、いずれのオプションも選択しないようにしてください。セキュリティキーをタップするだけでよいのです。

他の MFA デバイスとは異なり、FIDO のセキュリティキーは同期しなくなります。管理者は、FIDO セキュリティキーを紛失したり壊れたりした場合、そのキーを無効にすることができます。詳細については、「[MFA デバイスの無効化 (コンソール)](id_credentials_mfa_disable.md#deactive-mfa-console)」を参照してください。

WebAuthn をサポートするブラウザーおよび、AWS がサポートする FIDO 対応デバイスについては、「[パスキーとセキュリティキーを使用するためのサポートされる設定](id_credentials_mfa_fido_supported_configurations.md)」を参照してください。

## 仮想 MFA デバイス
<a name="console_sign-in-mfa-virtual"></a>

MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。[**MFA code (MFA コード)**] ボックスに、ユーザーは MFA アプリケーションから提供される数値コードを入力する必要があります。

MFA コードが正しい場合、ユーザーは AWS マネジメントコンソール にアクセスできます。このコードが間違っていると、ユーザーは別のコードで再試行できます。

仮想 MFA デバイスが同期しなくなることがあります。ユーザーが AWS マネジメントコンソール へのサインインを何度か試みて失敗した場合、仮想 MFA デバイスを同期するよう求められます。ユーザーは画面の指示に従って仮想 MFA デバイスを同期できます。お客様の AWS アカウント のユーザーに代わってデバイスを同期する方法については、「[仮想 MFA デバイスとハードウェア MFA デバイスを再同期する](id_credentials_mfa_sync.md)」を参照してください。

## ハードウェア TOTP トークン
<a name="console_sign-in-mfa-hardware"></a>

MFA がユーザーに必要な場合は、2 番目のサインインページが表示されます。ユーザーは、**[MFA code]** (MFA コード) ボックスに、ハードウェア TOTP トークンから提供される数値コードを入力する必要があります。

MFA コードが正しい場合、ユーザーは AWS マネジメントコンソール にアクセスできます。このコードが間違っていると、ユーザーは別のコードで再試行できます。

ハードウェア TOTP トークンは、同期から外れることはありません。AWS マネジメントコンソール へのサインインが、複数回連続して失敗したユーザーに対しては、MFA トークンデバイスと同期するように求められます。ユーザーは画面の指示に従って MFA トークンデバイスを同期できます。お客様の AWS アカウント のユーザーに代わってデバイスを同期する方法については、「[仮想 MFA デバイスとハードウェア MFA デバイスを再同期する](id_credentials_mfa_sync.md)」を参照してください。