ID に多要素認証 (MFA) を使用することは、IAM のベスト プラクティスの 1 つです。MFA は、ID を検証するためにユーザー名とパスワードを指定した後でさらに別の認証要素を指定するようユーザーに求める、セキュリティ強化のレイヤーです。ユーザーのパスワードが侵害された場合でも、攻撃者が不正アクセスを仕掛けることがはるかに難しくなり、セキュリティが大幅に強化されます。MFA は、オンラインアカウントやクラウドサービスといった機密性が高いリソースへのアクセスを保護する際のベストプラクティスとして広く導入されています。AWS は、ルートユーザー、IAM ユーザー、IAM アイデンティティセンター内のユーザー、ビルダー ID、フェデレーションユーザーで MFA をサポートしています。セキュリティを強化するために、ユーザーがリソースにアクセスしたり特定のアクションを実行したりする前に MFA の設定を要求するポリシーを作成し、これらのポリシーを IAM ロールにアタッチできます。IAM Identity Center は、デフォルトで MFA がオンになっているように事前に設定されています。そのため、IAM Identity Center のすべてのユーザーは、ユーザー名とパスワードに加えて MFA でサインインする必要があります。
注記
2024 年 5 月以降、MFA がまだ有効になっていない場合、すべてのルートユーザーは次回のサインイン時に MFA を有効にする必要があります。ユーザーは、プロンプトをスキップすることで、MFA 登録を最大 35 日間延期できます。35 日後、MFA を有効にすると、サインインを続行し、AWS Management Console にアクセスすることが必須になります。メンバーアカウントの場合、MFA 設定は現在オプションですが、2025 年春に実施が予定されています。
詳細については、「IAM Identity Center で MFA を設定する」と「IAM の AWS 多要素認証」を参照してください。