Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

AWS アカウントのルートユーザー の多要素認証

フォーカスモード
AWS アカウントのルートユーザー の多要素認証 - AWS Identity and Access Management

多要素認証 (MFA) は、セキュリティを強化するためのシンプルで効果的なメカニズムです。1 つ目の要因であるパスワードは、ユーザーが記憶する秘密であり、知識要因とも呼ばれます。その他の要因としては、所有要因 (セキュリティキーなど、ユーザーが持っているもの) や継承要因 (生体認証スキャンなど、ユーザー自身のもの) があります。セキュリティを向上させるには、多要素認証 (MFA) を設定して AWS リソースを保護することを強くお勧めします。

注記

2024 年 5 月以降、MFA がまだ有効になっていない場合、すべてのルートユーザーは次回のサインイン時に MFA を有効にする必要があります。ユーザーは、プロンプトをスキップすることで、MFA 登録を最大 35 日間延期できます。35 日後、MFA を有効にすると、サインインを続行し、AWS Management Console にアクセスすることが必須になります。メンバーアカウントの場合、MFA 設定は現在オプションですが、2025 年 Spring に実施が予定されています。

AWS アカウントのルートユーザー および IAM ユーザーでは、MFA を使用することができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。IAM ユーザーに対して MFA を有効にする方法の詳細については、「IAM の AWS 多要素認証」を参照してください。

注記

AWS Organizations を使用して管理される AWS アカウントには、認証情報の復旧と大規模なアクセスを防ぐために、メンバーアカウントのルートアクセスを一元管理するためのオプションがある場合があります。このオプションを有効にすると、パスワードや MFA などのルートユーザー認証情報をメンバーアカウントから削除して、ルートユーザーとしてのサインイン、パスワードの回復、または MFA の設定を効果的に防止できます。または、パスワードベースのサインイン方法を維持する場合は、MFA を登録してアカウントを保護し、アカウントの保護を強化します。

ルートユーザーの MFA を有効にする前に、アカウント設定と連絡先情報を確認および更新して、E メールと電話番号にアクセスできることを確認してください。MFA デバイスが紛失したり、盗難にあったり、機能しなくなったりしても、そのメールアドレスと電話番号を使用してアイデンティティを確認することで、ルートユーザーとしてサインインできます。代替の認証要素を使用してログインする方法については、「IAM 内で MFA で保護された ID を復元する」を参照してください。 この機能を無効にするには、「AWS サポート」にお問い合わせください。

AWS はルートユーザーに対して次の MFA タイプをサポートします。

パスキーとセキュリティキー

AWS Identity and Access Management は MFA のパスキーとセキュリティキーをサポートします。FIDO 標準に基づいて、パスキーではパブリックキー暗号化が使用され、パスワードよりも安全性の高い、強力でフィッシング耐性のある認証が提供されます。AWS は、デバイスバインドパスキー (セキュリティキー) と同期パスキーの 2 種類のパスキーをサポートしています。

  • セキュリティキー: これらは YubiKey などの物理デバイスで、認証の 2 番目の要素として使用されます。1 つのセキュリティキーで、複数のルートユーザーアカウントと IAM ユーザーをサポートできます。

  • 同期パスキー: これらは、Google、Apple、Microsoft アカウントなどのプロバイダーの認証情報マネージャー、および 1Password、Dashlane、Bitwarden などのサードパーティーサービスを 2 番目の要素として使用します。

Apple MacBook の Touch ID などの組み込みの生体認証機能を使用して、認証情報マネージャーのロックを解除し、AWS にサインインできます。パスキーは、指紋、顔、またはデバイス PIN を使用して、選択したプロバイダーで作成されます。デバイス間でパスキーを同期することで、AWS へのサインインが容易になり、使いやすさと回復性が向上します。

IAM は Windows Hello のローカルパスキー登録をサポートしていません。パスキーを作成して使用するには、Windows ユーザーは、モバイルデバイスやハードウェアセキュリティキーなどのデバイスのパスキーを使用して別のデバイス (ラップトップなど) にサインインするクロスデバイス認証を使用する必要があります。FIDO 仕様と互換性のあるすべての FIDO 認定製品のリストが、FIDO アライアンスから提供されています。パスキーとセキュリティキーの有効化の詳細については、「ルートユーザーのパスキーまたはセキュリティキーを有効にする (コンソール)」を参照してください。

仮想認証アプリケーション

仮想認証アプリケーションは、電話やその他のデバイスで実行され、物理デバイスをエミュレートします。仮想認証アプリは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムを実装しており、単一デバイスで複数のトークンをサポートします。ユーザーは、サインイン中にプロンプトが表示されたら、デバイスから有効なコードを入力する必要があります。ユーザーに割り当てられた各トークンは一意であることが必要です。ユーザーは、別のユーザーのトークンからコードを入力して認証を受けることはできません。

ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用可能なサポートされているアプリケーションのリストについては、「多要素認証 (MFA)」を参照してください。AWS で仮想 MFA デバイスを設定する手順については、「ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

ハードウェア TOTP トークン

ハードウェアデバイスでは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムに基づいて 6 桁の数値コードが生成されます。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「多要素認証 (MFA)」を参照してください。AWS でハードウェア TOTP デバイスを設定する手順については、「 のルートユーザー (コンソール) 用にハードウェア TOTP トークンを有効にします」を参照してください。

物理的な MFA デバイスを使用する場合は、ハードウェア TOTP デバイスの代わりに FIDO セキュリティキーを使用することをお勧めします。FIDO セキュリティキーのメリットは、バッテリーが不要でフィッシング耐性があるという点です。さらには、セキュリティを強化するために、1 台のデバイスで複数のルートユーザーと IAM ユーザーをサポートしています。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.