AWS アカウントのルートユーザー の多要素認証
多要素認証 (MFA) は、セキュリティを強化するためのシンプルで効果的なメカニズムです。1 つ目の要因であるパスワードは、ユーザーが記憶する秘密であり、知識要因とも呼ばれます。その他の要因としては、所有要因 (セキュリティキーなど、ユーザーが持っているもの) や継承要因 (生体認証スキャンなど、ユーザー自身のもの) があります。セキュリティを向上させるには、多要素認証 (MFA) を設定して AWS リソースを保護することを強くお勧めします。
AWS アカウントのルートユーザー および IAM ユーザーでは、MFA を使用することができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。IAM ユーザーに対して MFA を有効にする方法の詳細については、「IAM の AWS 多要素認証」を参照してください。
ルートユーザーの MFA を有効にする前に、アカウント設定と連絡先情報を確認および更新して、E メールと電話番号にアクセスできることを確認してください。MFA デバイスが紛失したり、盗難にあったり、機能しなくなったりしても、そのメールアドレスと電話番号を使用してアイデンティティを確認することで、ルートユーザーとしてサインインできます。代替の認証要素を使用してログインする方法については、「IAM 内で MFA で保護された ID を復元する」を参照してください。 この機能を無効にするには、「AWS Support
AWS はルートユーザーに対して次の MFA タイプをサポートします。
パスキーとセキュリティキー
AWS Identity and Access Management は MFA のパスキーとセキュリティキーをサポートします。FIDO 標準に基づいて、パスキーではパブリックキー暗号化が使用され、パスワードよりも安全性の高い、強力でフィッシング耐性のある認証が提供されます。AWS は、デバイスバインドパスキー (セキュリティキー) と同期パスキーの 2 種類のパスキーをサポートしています。
-
セキュリティキー: これらは YubiKey などの物理デバイスで、認証の 2 番目の要素として使用されます。1 つのセキュリティキーで、複数のルートユーザーアカウントと IAM ユーザーをサポートできます。
-
同期パスキー: これらは、Google、Apple、Microsoft アカウントなどのプロバイダーの認証情報マネージャー、および 1Password、Dashlane、Bitwarden などのサードパーティーサービスを 2 番目の要素として使用します。
Apple MacBook の Touch ID などの組み込みの生体認証機能を使用して、認証情報マネージャーのロックを解除し、AWS にサインインできます。パスキーは、指紋、顔、またはデバイス PIN を使用して、選択したプロバイダーで作成されます。デバイス間でパスキーを同期することで、AWS へのサインインが容易になり、使いやすさと回復性が向上します。
IAM は Windows Hello のローカルパスキー登録をサポートしていません。パスキーを作成して使用するには、Windows ユーザーは、モバイルデバイスやハードウェアセキュリティキーなどのデバイスのパスキーを使用して別のデバイス (ラップトップなど) にサインインするクロスデバイス認証
仮想認証アプリケーション
仮想認証アプリケーションは、電話やその他のデバイスで実行され、物理デバイスをエミュレートします。仮想認証アプリは、タイムベースドワンタイムパスワード (TOTP)
ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用可能なサポートされているアプリケーションのリストについては、「多要素認証 (MFA)
ハードウェア TOTP トークン
ハードウェアデバイスでは、タイムベースドワンタイムパスワード (TOTP) アルゴリズム
物理的な MFA デバイスを使用する場合は、ハードウェア TOTP デバイスの代わりに FIDO セキュリティキーを使用することをお勧めします。FIDO セキュリティキーのメリットは、バッテリーが不要でフィッシング耐性があるという点です。さらには、セキュリティを強化するために、1 台のデバイスで複数のルートユーザーと IAM ユーザーをサポートしています。
トピック
