AWS ビルダー ID 多要素認証 (MFA) の管理 - AWS サインイン
利用可能な MFA タイプAWS ビルダー ID MFA デバイスの登録‬‬‬‬セキュリティキーを AWS ビルダー ID MFA デバイスとして登録するAWS ビルダー ID MFA デバイスの名前を変更するMFA デバイスの削除

AWS ビルダー ID 多要素認証 (MFA) の管理

多要素認証 (MFA) は、セキュリティを強化するためのシンプルで効果的なメカニズムです。1 つ目の要因であるパスワードは、ユーザーが記憶する秘密であり、知識要因とも呼ばれます。その他の要因としては、所有要因 (セキュリティキーなど、ユーザーが持っているもの) や継承要因 (生体認証スキャンなど、ユーザー自身のもの) があります。AWS ビルダー ID にレイヤーを追加するように MFA を設定することを強くお勧めします。

複数の MFA デバイスを登録することをお勧めします。例えば、組み込みの認証アプリを登録し、物理的に安全な場所に保管するセキュリティキーも登録することができます。組み込みの認証ソフトを使用できない場合は、登録済みのセキュリティキーを使用できます。認証アプリケーションについては、それらのアプリでクラウドバックアップまたは同期機能を有効にすることもできます。これにより、MFA デバイスを紛失または破損した場合に、プロファイルにアクセスできなくなることを防ぐことができます。

注記

登録した MFA デバイスを定期的に見直して、最新で機能していることを確認することをお勧めします。また、これらのデバイスは、使用しないときは物理的に安全な場所に保管してください。登録されているすべての MFA デバイスにアクセスできなくなると、AWS ビルダー ID の復元ができなくなります。

AWS ビルダー ID で利用可能な MFA タイプ

AWS ビルダー ID は、次の多要素認証 (MFA) デバイスタイプをサポートします。

FIDO2 認証システム

FIDO2 は CTAP2 と WebAuthn を含む標準であり、パブリックキー暗号に基づいています。FIDO 認証情報は、認証情報が作成された Web サイト (AWS など) 固有のものであるため、フィッシング詐欺に対して強固です。

AWS は、FIDO 認証システムの最も一般的なフォームの要素は、組み込みの認証アプリシステムとセキュリティキーの 2 つです。FIDO 認証機能の最も一般的なタイプの詳細については、以下を参照してください。

組み込みの認証機能

MacBook の TouchID や、Windows Hello 対応のカメラなどの一部デバイスはビルトイン認証システムを装備しています。お使いのデバイスが WebAuthn を含む FIDO プロトコルと互換性がある場合は、指紋や顔を第二の要素として使用できます。詳細については、FIDO 認証 を参照してください。

セキュリティキー

FIDO2 対応の外付け USB、BLE、または NFC 接続のセキュリティキーを購入できます。MFA デバイスの入力を求められたら、キーのセンサーをタップします。YubiKey または Feitian は互換性のあるデバイスを製造しています。互換性のあるすべてのセキュリティキーのリストについては、FIDO 認定製品をご覧ください。

パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証システム

複数のサードパーティプロバイダーが、パスワードマネージャー、FIDO モードのスマートカード、その他のフォームの要素の機能として、モバイルアプリケーションの FIDO 認証をサポートしています。これらの FIDO 互換デバイスは IAM Identity Center で動作しますが、このオプションを MFA で有効にする前に FIDO 認証機能をご自身でテストすることをお勧めします。

注記

FIDO 認証機能の中には、パスキーと呼ばれる検出可能な FIDO 認証情報を作成できるものもあります。パスキーは、パスキーを作成したデバイスにバインドされている場合もあれば、同期可能でクラウドにバックアップされている場合もあります。例えば、サポートされている Macbook で Apple Touch ID を使ってパスキーを登録し、ログイン時に画面に表示される指示に従って iCloud のパスキーで Google Chrome を使って Windows ラップトップからサイトにログインできます。どのデバイスが同期可能なパスキーをサポートしていると、オペレーティングシステムとブラウザ間の現在のパスキーの相互運用性をサポートしているの詳細は、FIDO アライアンスとワールドワイドウェブコンソーシアム (W3C) が管理するリソースである passkeys.dev の「デバイスサポート」を参照してください。

認証アプリケーション

認証アプリケーションは、ワンタイムパスワード (OTP) ベースのサードパーティー認証機能を備えています。モバイルデバイスやタブレットにインストールされた認証アプリケーションを、許可された MFA デバイスとして使用することができます。サードパーティー認証アプリケーションは、6 桁の認証コードを生成できる標準ベースのタイムベースドワンタイムパスワード (TOTP) アルゴリズムである RFC 6238 に準拠している必要があります。

MFA を求めるプロンプトが表示されたら、認証アプリケーションから有効なコードを入力ボックスに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。1 人の ユーザーに対して 2 つの認証アプリを登録することができます。

以下の有名なサードパーティの認証アプリケーションから選択できます。ただし、TOTP 準拠のアプリケーションはすべて AWS ビルダー ID ビルダー ID の MFA で動作します。

オペレーティングシステム テスト済みの認証アプリ
Android 1PasswordAuthyDuo MobileMicrosoft AuthenticatorGoogle Authenticator
iOS 1PasswordAuthyDuo MobileMicrosoft AuthenticatorGoogle Authenticator

AWS ビルダー ID MFA デバイスの登録‬‬‬‬

注記

MFA にサインアップし、サインアウトしてから同じデバイスでサインインすると、信頼できるデバイスでは MFA の入力を求められない場合があります。

認証アプリケーションを使用して MFA デバイスを登録するには

  1. https://profile.aws.amazon.com で AWS ビルダー ID プロファイルにサインインします。

  2. セキュリティを選択します。

  3. セキュリティ ページで、デバイスの登録を選択します。

  4. MFA デバイスの登録 ページで、認証アプリケーションを選択します。

  5. AWS ビルダー ID ビルダー ID は、QR コードのグラフィックを含む設定情報を操作して表示します。図は、QR コードに対応していない認証アプリケーションでの手動入力に利用できる「シークレット設定キー」を示しています。

  6. 認証アプリケーションを開きます。アプリのリストについては、「認証アプリケーション」を参照してください。

    認証アプリケーションが複数の MFA デバイスまたはアカウントをサポートしている場合は、新しい MFA デバイスまたはアカウントを作成するオプションを選択します。

  7. MFA アプリケーションが QR コードをサポートしているかどうかを判断し、認証アプリケーションの設定 ページで以下のいずれかの操作を行います。

    1. QR コードの表示を選択し、アプリケーションを使用して QR コードをスキャンします。例えば、カメラアイコンまたは スキャンコード に似たオプションを選択します。次に、デバイスのカメラでコードをスキャンします。

    2. シークレットキーを表示をクリックし、そのシークレットキーを MFA アプリケーションに入力します。

    完了すると、認証アプリケーションがワンタイムパスワードを生成して表示します。

  8. 認証システムコードボックスに、現在認証アプリケーションに表示されているワンタイムパスワードを入力します。MFA の割り当てを選択します。

    重要

    コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスは AWS ビルダー ID ビルダー ID とは正常に関連付けられますが、その MFA デバイスは同期しません。これは、タイムベースドワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。詳細については、「認証アプリケーションを使用して登録やサインインをしようとすると、「予期しないエラーが発生しました」というメッセージが表示されます」を参照してください。

  9. AWS ビルダー ID ビルダー ID でデバイスにわかりやすい名前を付けるには、[名前を変更] を選択します。この名前は、このデバイスを登録した他のデバイスと区別するのに役立ちます。

これで MFA デバイスを AWS ビルダー ID で使用できます。

セキュリティキーを AWS ビルダー ID MFA デバイスとして登録する

セキュリティキーを使用して MFA デバイスを登録するには

  1. https://profile.aws.amazon.com で AWS ビルダー ID プロファイルにサインインします。

  2. セキュリティを選択します。

  3. セキュリティページで、デバイスの登録を選択します。

  4. MFA デバイスの登録ページで、セキュリティキーを選択します。

  5. セキュリティキーが有効になっていることを確認します。別の物理セキュリティキーを使用する場合は、それをコンピューターに接続します。

  6. 画面上の指示に従います。操作性は、オペレーティングシステムとブラウザによって異なります。

  7. AWS ビルダー ID ビルダー ID でデバイスにわかりやすい名前を付けるには、[名前を変更] を選択します。この名前は、このデバイスを登録した他のデバイスと区別するのに役立ちます。

これで MFA デバイスを AWS ビルダー ID で使用できます。

AWS ビルダー ID MFA デバイスの名前を変更する

MFA デバイスの名前を変更するには

  1. https://profile.aws.amazon.com で AWS ビルダー ID プロファイルにサインインします。

  2. セキュリティを選択します。ページに到達すると、名前の変更がグレーアウトされていることがわかります。

  3. 変更する MFA デバイスを選択します。これにより、名前の変更を選択できます。そしたら、ダイアログボックスが表示されます。

  4. 表示されるプロンプトで、MFA デバイス名に新しい名前を入力し、名前の変更を選択します。名前を変更したデバイスは、多要素認証 (MFA) デバイスに表示されます。

MFA デバイスの削除

2 つ以上の MFA デバイスをアクティブに保つことを推奨します。デバイスを削除する前に、「AWS ビルダー ID MFA デバイスの登録‬‬‬‬」を参照して交換用の MFA デバイスを登録してください。AWS ビルダー ID ビルダー ID の多要素認証を無効にするには、登録されているすべての MFA デバイスをプロファイルから削除します。

MFA デバイスを削除するには

  1. https://profile.aws.amazon.com で AWS ビルダー ID プロファイルにサインインします。

  2. セキュリティを選択します。

  3. 変更する MFA デバイスを選択したら、削除を選択します。

  4. MFA デバイスを削除しますか?モーダルでは、指示に従ってデバイスを削除してください。

  5. 削除をクリックします。

削除したデバイスは、多要素認証 (MFA) に表示されなくなります。