# AWS マネジメントコンソールで仮想 MFA デバイスを割り当てる
**重要**
AWS では、AWS への MFA に可能な限りパスキーまたはセキュリティキーを使用することをお勧めします。詳細については、「[AWS マネジメントコンソールでパスキーやセキュリティキーを割り当てる](id_credentials_mfa_enable_fido.md)」を参照してください。
電話や他のデバイスを仮想多要素認証 (MFA) デバイスとして使用できます。これを行うには、[標準ベースの TOTP (時刻ベースのワンタイムパスワード) アルゴリズムである RFC 6238](https://datatracker.ietf.org/doc/html/rfc6238) に準拠するモバイルアプリをインストールします。これらのアプリは、6 桁の認証コードを生成します。認証はセキュリティで保護されていないモバイルデバイスで実行することができ、コードはアクセス許可のない当事者と共有される可能性があるため、TOTP ベースの MFA は [FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2) セキュリティキーやパスキーなどのフィッシング耐性オプションと同等のセキュリティを提供しません。フィッシングなどの攻撃に対して最も強力な保護を実現するには、MFA にパスキーまたはセキュリティキーを使用することをお勧めします。
パスキーまたはセキュリティキーをまだ使用できない場合は、ハードウェア購入の承認またはハードウェアの到着を待つ間、暫定措置として仮想 MFA デバイスを使用することをお勧めします。
一般的な仮想 MFA アプリでは、複数の仮想デバイスの作成がサポートされているため、複数の AWS アカウント またはユーザーに対しても同じアプリを使用できます。[MFA タイプ](https://aws.amazon.com/iam/features/mfa/)を任意に組み合わせた最大 **8** 台の MFA デバイスを AWS アカウントのルートユーザーおよび IAM ユーザーと共に登録できます。AWS マネジメントコンソールにログインしたり、AWS CLI を使用してセッションを確立したりするには、MFA デバイスが 1 台あれば十分です。複数の MFA デバイスを登録することをお勧めします。また、認証アプリ搭載のデバイスを紛失または損傷した場合にアカウントにアクセスできなくなるのを防ぐため、クラウドバックアップや同期機能を有効にすることをお勧めします。
AWS では、6 桁の OTP を生成する仮想 MFA アプリが必要です。使用できる仮想 MFA アプリケーションのリストについては、「[多要素認証](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)」を参照してください。
**Topics**
+ [必要なアクセス許可](#mfa_enable_virtual_permissions-required)
+ [IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)](#enable-virt-mfa-for-iam-user)
+ [仮想 MFA デバイスの交換](#replace-virt-mfa)
## 必要なアクセス許可
IAM ユーザーの仮想 MFA デバイスを更新するには、次のポリシーのアクセス許可が必要です: [AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の MFA デバイスを管理できるようにします](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)。
## IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)
AWS マネジメントコンソール で IAM を使用して、アカウントの IAM ユーザーの仮想 MFA デバイスを有効化および管理することができます。IAM リソース (仮想 MFA デバイスを含む) にタグをアタッチして、タグへのアクセスを特定、整理、制御することができます。仮想 MFA デバイスにタグを付けることができるのは、AWS CLI または AWS API を使用する場合のみです。AWS CLI または AWS API を使用して、MFA デバイスを有効化および管理するには、「[AWS CLI または AWS API で MFA デバイスを割り当てる](id_credentials_mfa_enable_cliapi.md)」を参照してください。IAM リソースのタグ付けの詳細については、「[AWS Identity and Access Management リソースのタグ](id_tags.md)」を参照してください
**注記**
MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。例えば、スマートフォンで実行される仮想 MFA デバイスを使用するユーザー用に MFA を設定するとします。その場合、ウィザードを完了するには、そのスマートフォンを利用できる必要があります。このため、ユーザーが自分の仮想 MFA デバイスを設定して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。このアクセス許可を付与する IAM ポリシーの詳細および例については、「[IAM チュートリアル: ユーザーに自分の認証情報および MFA 設定を許可する](tutorial_users-self-manage-mfa-and-creds.md)」およびポリシーの例「[AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の MFA デバイスを管理できるようにします](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md)」を参照してください。
**IAM ユーザーの仮想 MFA デバイスを有効にするには (コンソール)**
1. AWS マネジメントコンソールにサインインして、IAM コンソールを開きます [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. ナビゲーションペインで [**Users (ユーザー)**] を選択します。
1. **[Users]** (ユーザー) のリストで、IAM ユーザー名を選択します。
1. [**Security Credentials**] タブを選択します。**[Multi-factor authentication (MFA)** (多要素認証 (MFA)) で、**[Assign MFA device]** (MFA デバイスの割り当て) を選択します。
1. ウィザードで **[デバイス名]** を入力し、**[認証アプリ]**、**[次へ]** の順に選択します。
IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できる「シークレット設定キー」を示しています。
1. 仮想 MFA アプリを開きます。仮想 MFA デバイスをホストするために使用できるアプリケーションのリストについては、「[多要素認証](https://aws.amazon.com/iam/details/mfa/)」を参照してください。
仮想 MFA アプリが複数の仮想 MFA デバイスまたはアカウントをサポートしている場合は、新しい仮想 MFA デバイスまたはアカウントを作成するオプションを選択します。
1. MFA アプリが QR コードをサポートしているかどうかを確認してから、次のいずれかを実行します。
+ ウィザードから **[Show QR code]** (QR コードの表示) を選択し、アプリを使用して QR コードをスキャンします。そのための選択肢には、デバイスのカメラを使用してコードをスキャンするカメラアイコンや**スキャンコード**などがあります。
+ 同じウィザードで **[Show secret key]** (シークレットキーを表示) を選択した後、MFA アプリにシークレットキーを入力します。
これで仮想 MFA デバイスはワンタイムパスワードの生成を開始します。
1. **[デバイスの設定]** ページで、**[MFA コード 1]** ボックスに、現在仮想 MFA デバイスに表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます (最長 30 秒)。生成されたら [**MFA code 2 (MFA コード 2)**] ボックスに 2 つ目のワンタイムパススワードを入力します。**[Add MFA]** (MFA を追加) を選択します。
**重要**
コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、タイムベースドワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、[デバイスの再同期](id_credentials_mfa_sync.md)ができます。
これで仮想 MFA デバイスを AWS で使用できます。AWS マネジメントコンソールでの MFA 利用の詳細については、「[MFA 対応のサインイン](console_sign-in-mfa.md)」を参照してください。
**注記**
AWS アカウント で割り当てられていない仮想 MFA デバイスは、AWS マネジメントコンソール 経由で、またはサインインプロセス中に新しい仮想 MFA デバイスを追加すると削除されます。未割り当ての仮想 MFA デバイスとは、お客様のアカウントにあるデバイスですが、アカウントのルートユーザーまたは IAM ユーザーがサインインプロセスで使用されません。これらは削除されるため、新しい仮想 MFA デバイスをアカウントに追加できます。また、デバイス名を再利用することもできます。
アカウント内の未割り当ての仮想 MFA デバイスを表示するには、[list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI コマンドまたは [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) コールを使用できます。
仮想 MFA デバイスを非アクティブ化するには、[deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI コマンドまたは [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) コールを使用できます。このデバイスは未割り当てになります。
未割り当ての仮想 MFA デバイスを AWS アカウント ルートユーザーまたは IAM ユーザーにアタッチするには、[enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html) AWS CLI コマンドまたは [API](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) コールとともに、デバイスが生成した認証コードが必要となります。
## 仮想 MFA デバイスの交換
AWS アカウントのルートユーザーと IAM ユーザーは、MFA タイプを任意に組み合わせた最大 **8** 台の MFA デバイスを登録できます。ユーザーがデバイスを紛失したか、何らかの理由で交換する必要がある場合は、古いデバイスを非アクティブ化します。その後、新しいデバイスをユーザーに追加できます。
+ 別の IAM ユーザーに関連付けられているデバイスを非アクティブ化するには、「[MFA デバイスを無効にする](id_credentials_mfa_disable.md)」を参照してください。
+ 別の IAM ユーザーの交換用の仮想 MFA デバイスを追加するには、上記の「[IAM ユーザーの仮想 MFA デバイスの有効化 (コンソール)](#enable-virt-mfa-for-iam-user)」の手順に従います。
+ AWS アカウントのルートユーザー ユーザーの交換用の仮想 MFA デバイスを追加するには、[ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)](enable-virt-mfa-for-root.md) の手順に従います。