# AWS アカウントのルートユーザー の多要素認証
**重要**
AWS では、AWS への MFA で可能な限りパスキーまたはセキュリティキーを使用することをお勧めします。これらはフィッシングなどの攻撃に対する耐性が高いためです。詳細については、「[パスキーとセキュリティキー](#passkeys-security-keys-for-root)」を参照してください。
多要素認証 (MFA) は、セキュリティを強化するためのシンプルで効果的なメカニズムです。1 つ目の要因であるパスワードは、ユーザーが記憶する秘密であり、知識要因とも呼ばれます。その他の要因としては、所有要因 (セキュリティキーなど、ユーザーが持っているもの) や継承要因 (生体認証スキャンなど、ユーザー自身のもの) があります。セキュリティを向上させるには、多要素認証 (MFA) を設定して AWS リソースを保護することを強くお勧めします。
**注記**
すべての AWS アカウントタイプ (スタンドアロン、管理、メンバーアカウント) では、ルートユーザーに MFA を設定する必要があります。MFA がまだ有効になっていない場合、ユーザーは AWS マネジメントコンソールにアクセスする最初のサインイン試行から 35 日以内に MFA を登録する必要があります。
AWS アカウントのルートユーザー および IAM ユーザーでは、MFA を使用することができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。IAM ユーザーに対して MFA を有効にする方法の詳細については、「[IAM の AWS 多要素認証](id_credentials_mfa.md)」を参照してください。
**注記**
AWS Organizations を使用して管理される AWS アカウントには、認証情報の復旧と大規模なアクセスを防ぐために、メンバーアカウントの[ルートアクセスを一元管理](id_root-user.md#id_root-user-access-management)するためのオプションがある場合があります。このオプションを有効にすると、パスワードや MFA などのルートユーザー認証情報をメンバーアカウントから削除して、ルートユーザーとしてのサインイン、パスワードの回復、または MFA の設定を効果的に防止できます。または、パスワードベースのサインイン方法を維持する場合は、MFA を登録してアカウントを保護し、アカウントの保護を強化します。
ルートユーザーの MFA を有効にする前に、[アカウント設定と連絡先情報を確認および更新](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)して、E メールと電話番号にアクセスできることを確認してください。MFA デバイスが紛失したり、盗難にあったり、機能しなくなったりしても、そのメールアドレスと電話番号を使用してアイデンティティを確認することで、ルートユーザーとしてサインインできます。代替の認証要素を使用してログインする方法については、「[IAM 内で MFA で保護された ID を復元する](id_credentials_mfa_lost-or-broken.md)」を参照してください。 この機能を無効にするには、「[AWS サポート](https://console.aws.amazon.com/support/home#/)」にお問い合わせください。
AWS はルートユーザーに対して次の MFA タイプをサポートします。
+ [パスキーとセキュリティキー](#passkeys-security-keys-for-root)
+ [仮想認証アプリケーション](#virtual-auth-apps-for-root)
+ [ハードウェア TOTP トークン](#hardware-totp-token-for-root)
## パスキーとセキュリティキー
AWS Identity and Access Management は MFA のパスキーとセキュリティキーをサポートします。FIDO 標準に基づいて、パスキーではパブリックキー暗号化が使用され、パスワードよりも安全性の高い、強力でフィッシング耐性のある認証が提供されます。AWS は、デバイスバインドパスキー (セキュリティキー) と同期パスキーの 2 種類のパスキーをサポートしています。
+ **セキュリティキー**: これらは YubiKey などの物理デバイスで、認証の 2 番目の要素として使用されます。1 つのセキュリティキーで、複数のルートユーザーアカウントと IAM ユーザーをサポートできます。
+ **同期パスキー**: これらは、Google、Apple、Microsoft アカウントなどのプロバイダーの認証情報マネージャー、および 1Password、Dashlane、Bitwarden などのサードパーティーサービスを 2 番目の要素として使用します。
Apple MacBook の Touch ID などの組み込みの生体認証機能を使用して、認証情報マネージャーのロックを解除し、AWS にサインインできます。パスキーは、指紋、顔、またはデバイス PIN を使用して、選択したプロバイダーで作成されます。モバイルデバイスやハードウェアセキュリティキーといったデバイスからクロスデバイス認証 (CDA) パスキーを使用して、ラップトップなどの別のデバイスにサインインすることもできます。詳細については、[「Cross-Device Authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)」を参照してください。
デバイス間でパスキーを同期することで、AWS へのサインインが容易になり、使いやすさと回復性が向上します。パスキーとセキュリティキーの有効化の詳細については、「[ルートユーザーのパスキーまたはセキュリティキーを有効にする (コンソール)](enable-fido-mfa-for-root.md)」を参照してください。
FIDO 仕様と互換性のあるすべての [FIDO 認定製品](https://fidoalliance.org/certification/fido-certified-products/)のリストが、FIDO アライアンスから提供されています。
## 仮想認証アプリケーション
仮想認証アプリケーションは、電話やその他のデバイスで実行され、物理デバイスをエミュレートします。仮想認証アプリは、[タイムベースドワンタイムパスワード (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) アルゴリズムを実装しており、単一デバイスで複数のトークンをサポートします。ユーザーは、サインイン中にプロンプトが表示されたら、デバイスから有効なコードを入力する必要があります。ユーザーに割り当てられた各トークンは一意であることが必要です。ユーザーは、別のユーザーのトークンからコードを入力して認証を受けることはできません。
ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用可能なサポートされているアプリケーションのリストについては、「[多要素認証 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)」を参照してください。AWS で仮想 MFA デバイスを設定する手順については、「[ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)](enable-virt-mfa-for-root.md)」を参照してください。
## ハードウェア TOTP トークン
ハードウェアデバイスでは、[タイムベースドワンタイムパスワード (TOTP) アルゴリズム](https://datatracker.ietf.org/doc/html/rfc6238)に基づいて 6 桁の数値コードが生成されます。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「[多要素認証 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)」を参照してください。AWS でハードウェア TOTP デバイスを設定する手順については、「[のルートユーザー (コンソール) 用にハードウェア TOTP トークンを有効にします](enable-hw-mfa-for-root.md)」を参照してください。
物理的な MFA デバイスを使用する場合は、ハードウェア TOTP デバイスの代わりに FIDO セキュリティキーを使用することをお勧めします。FIDO セキュリティキーのメリットは、バッテリーが不要でフィッシング耐性があるという点です。さらには、セキュリティを強化するために、1 台のデバイスで複数のルートユーザーと IAM ユーザーをサポートしています。
**Topics**
+ [パスキーとセキュリティキー](#passkeys-security-keys-for-root)
+ [仮想認証アプリケーション](#virtual-auth-apps-for-root)
+ [ハードウェア TOTP トークン](#hardware-totp-token-for-root)
+ [ルートユーザーのパスキーまたはセキュリティキーを有効にする (コンソール)](enable-fido-mfa-for-root.md)
+ [ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)](enable-virt-mfa-for-root.md)
+ [のルートユーザー (コンソール) 用にハードウェア TOTP トークンを有効にします](enable-hw-mfa-for-root.md)
# ルートユーザーのパスキーまたはセキュリティキーを有効にする (コンソール)
ルートユーザーのパスキーは、AWS CLI API や AWS API からではなく、AWS マネジメントコンソール からのみ設定して有効にできます。
**ルートユーザーのパスキーまたはセキュリティキーを有効にするには (コンソール)**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。
手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。
1. ナビゲーションバーの右側で、使用するアカウント名を選択してから、**[Security credentials]** (セキュリティ認証情報) を選択します。
![\[ナビゲーションメニューのセキュリティ認証情報\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. ルートユーザーの **[セキュリティ認証情報]** ページの **[多要素認証 (MFA)]** で、**[MFA デバイスの割り当て]** を選択します。
1. **[MFA デバイス名]** ページで、**[デバイス名]** を入力し、**[パスキーまたはセキュリティキー]** を選択し、**[次へ]** を選択します。
1. **[デバイスの設定]** で、パスキーを設定します。顔や指紋などの生体認証データを使用、デバイス PIN を使用、またはコンピュータの USB ポートに FIDO セキュリティキーを挿入してタップすることで、パスキーを作成します。
1. ブラウザの指示に従って、パスキープロバイダーを選択するか、デバイス全体で使用するパスキーを保存する場所を選択します。
1. [**続行**] をクリックしてください。
これで、AWS で使用するパスキーが登録されました。次回にルートユーザーの認証情報を使用してサインインするときは、パスキーで認証してサインインプロセスを完了する必要があります。
FIDO セキュリティキーに関する問題のトラブルシューティングについては、「[FIDO セキュリティキーをトラブルシューティングする](troubleshoot_mfa-fido.md)」を参照してください。
# ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)
AWS マネジメントコンソール を使用して、仮想 MFA デバイスをルートユーザーが使用できるように設定して有効化することができます。AWS アカウント の MFA デバイスを有効にするには、ルートユーザー認証情報を使用して AWS にサインインしている必要があります。
**仮想 MFA デバイスを設定および有効化してルートユーザーで使用するには (コンソール)**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。
手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。
1. ナビゲーションバーの右側で、使用するアカウント名を選択してから、**[Security credentials]** (セキュリティ認証情報) を選択します。
![\[ナビゲーションメニューのセキュリティ認証情報\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. **[Multi-Factor Authentication(MFA)]** (多要素認証 (MFA)) セクションで、**[Assign MFA device]** (MFA デバイスの割り当て) を選択します。
1. ウィザードで **[デバイス名]** を入力し、**[認証アプリ]**、**[次へ]** の順に選択します。
IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できるシークレット設定キーを示しています。
1. デバイスで仮想 MFA アプリを開きます。
仮想 MFA アプリが複数の仮想 MFA デバイスまたはアカウントをサポートしている場合は、新しい仮想 MFA デバイスまたはアカウントを作成するオプションを選択します。
1. QR コードをスキャンするアプリを使用してアプリを設定するのが最も簡単な方法です。QR コードに対応していない場合には、設定情報を手入力します。IAM によって生成された QR コードやシークレット設定キーはお客様の AWS アカウント に紐付けられており、別のアカウントでは使用できません。ただし、元の MFA デバイスが利用できなくなった場合に、これらの情報を再利用してアカウントの新しい MFA デバイスを設定できます。
+ QR コードを使用して仮想 MFA デバイスを設定するには、ウィザードで [**Show QR code (QR コードの表示)**] を選択します。その後、アプリの指示に従ってコードをスキャンします。例えば、カメラアイコンや [**Scan account barcode**] のようなコマンドを選択し、デバイスのカメラを使用してコードを QR スキャンする場合があります。
+ **[Set up device]** (デバイスの設定) ウィザードで、**[Show secret key]** (シークレットキーの表示) を選択し、その後、MFA アプリにシークレットキーを入力します。
**重要**
QR コードまたはシークレット設定キーの安全なバックアップを作成するか、アカウント用に複数の MFA デバイスを有効にしていることを確認します。AWS アカウントのルートユーザー および IAM ユーザーに対し、「[現在サポートされている MFA タイプ](https://aws.amazon.com/iam/features/mfa/)」の任意の組み合わせで、最大 **8** 台の MFA デバイスを登録できます。例えば、仮想 MFA デバイスがホストされているスマートフォンを紛失した場合などは、仮想 MFA デバイスが使用できなくなる可能性があります。そのような場合で、ユーザーにアタッチされた他の MFA デバイスや、[ルートユーザー MFA デバイスの回復](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken) を使用してもアカウントにサインインできない場合は、アカウントへのサインインが不能になるので、[カスタマー サービスに連絡](https://support.aws.amazon.com/#/contacts/aws-mfa-support)して MFA によるアカウントの保護を解除する必要があります。
デバイスは 6 桁の数字の生成を開始します。
1. ウィザードの **[MFA Code 1]** (MFA コード 1) ボックスに、仮想 MFA デバイスに現在表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます (最長 30 秒)。生成されたら [**MFA code 2 (MFA コード 2)**] ボックスに 2 つ目のワンタイムパススワードを入力します。**[Add MFA]** (MFA を追加) を選択します。
**重要**
コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、タイムベースドワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、[デバイスの再同期](id_credentials_mfa_sync.md)ができます。
デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「[MFA 対応のサインイン](console_sign-in-mfa.md)」を参照してください。
# のルートユーザー (コンソール) 用にハードウェア TOTP トークンを有効にします
ルートユーザーの物理的な MFA デバイスは、AWS CLI または AWS API からではなく、AWS マネジメントコンソール からのみ設定して有効にすることができます。
**注記**
他のテキスト (例: **MFA を使用してサインイン** や **認証デバイスのトラブルシューティング**) が表示される場合があります。ただし、提供されている機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、MFA 設定の削除について [AWS サポート](https://aws.amazon.com/forms/aws-mfa-support) にお問い合わせください。
**ルートユーザーのハードウェア TOTP トークンを有効にするには (コンソール)**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。
手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。
1. ナビゲーションバーの右側で、使用するアカウント名を選択してから、**[Security credentials]** (セキュリティ認証情報) を選択します。
![\[ナビゲーションメニューのセキュリティ認証情報\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. [**Multi-factor authentication (MFA)**] セクションを展開します。
1. **[Assign MFA device]** (MFA デバイスの割り当て) を選択します。
1. ウィザード内で **[Device name]** (デバイス名) に入力した後、**[Hardware TOTP token]** (ハードウェア TOTP トークン)、**[Next]** (次へ) の順に選択します。
1. [**シリアル番号**] ボックスに MFA デバイス背面に表示されているシリアル番号を入力します。
1. MFA デバイスに表示されている 6 桁の数字を [**MFA code 1 (MFA コード 1)**] に入力します。デバイス前面のボタンを押して数字を表示する場合があります。
![\[IAM ダッシュボード、MFA デバイス\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/MFADevice.png)
1. デバイスがコードを更新するまで 30 秒ほど待ち、更新後に表示された 6 桁の数字を [**MFA code 2 (MFA コード 2)**] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。
1. **[Add MFA]** (MFA を追加) を選択します。これで、MFA デバイスと AWS アカウント の関連付けが完了しました。
**重要**
認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、タイムベースドワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、[デバイスの再同期](id_credentials_mfa_sync.md)ができます。
次回、ルートユーザー認証情報を使ってサインインするときに、MFA デバイスのコードを入力する必要があります。