IAM の多要素認証 (MFA)

MFA デバイスは IAM コンソールで管理できます。次のオプションは、IAM がサポートする MFA メソッドです。

パスキーとセキュリティキーは FIDO 標準に基づいており、ユーザーの複数のデバイスでより簡単かつ安全にサインインできます。FIDO 認証標準はパブリックキー暗号に基づいているため、パスワードよりも安全な、強固でフィッシングに強い認証が可能になります。パスキーは、iCloud キーチェーン、Google パスワードマネージャー、1Password、Dashlane などの任意のパスキープロバイダーで、指紋、顔、またはデバイスの PIN を使用して作成され、AWS でのサインインのために複数のデバイスで同期されます。また、お客様は、Yubico などのサードパーティープロバイダーが提供する、デバイスにバインドされたパスキー (セキュリティキーとも呼ばれます) を使用することもできます。FIDOアライアンスは、 FIDO仕様と互換性のあるすべてのFIDO認定製品のリストを管理しています。FIDO セキュリティキーは、1 つのセキュリティキーを使用して複数のルートアカウントと IAM ユーザーをサポートできます。パスキーとセキュリティキーは、Sinnet が運営する AWS 中国 (北京) リージョンと NWCD が運営する AWS (寧夏) リージョンを除くすべての AWS リージョンで、ルートユーザーと IAM ユーザーのためにサポートされています。FIDO セキュリティキーの有効化について詳しくは、「パスキーまたはセキュリティキーの有効化」を参照してください。

AWS は、米国の適格な AWS アカウント所有者に無料の MFA セキュリティキーを提供しています。利用資格を確認してキーを注文するには、 Security Hub コンソールを参照してください。

仮想認証アプリは、時間ベースのワンタイムパスワード (TOTP) アルゴリズムを実装し、1 つのデバイスで複数のトークンをサポートします。仮想認証システムは、 AWS GovCloud (米国) リージョンおよびその他の AWS リージョンの IAM ユーザー向けにサポートされています。仮想認証システムの有効化について詳しくは、「仮想多要素認証 (MFA) デバイスの有効化」を参照してください。

スマートフォン用のアプリケーションは、お使いのスマートフォンのタイプに応じたアプリストアからインストールできます。一部のアプリケーションプロバイダーは、ウェブアプリケーションとデスクトップアプリケーションも提供しています。次の表を参照してください。

Android: Twilio Authy認証システム、 Duo Mobile 、マイクロソフト認証システム、Google 認証システム、Symantec VIP

IOS: Twilio Authy 認証システム、 Duo Mobile 、マイクロソフト認証システム、Google 認証システム、Symantec VIP

ハードウェアトークンはTOTPアルゴリズムもサポートしており、サードパーティプロバイダーのタレスが提供しています。 このトークンは AWS アカウントでのみ使用できます。詳細については、「ハードウェア MFA デバイスの有効化」を参照してください。

AWS との互換性を確保するには、このページのリンクから MFA トークンを購入する必要があります。他のソースから購入したトークンは IAM では機能しない可能性があります。AWS では固有の「トークンシード」、つまりトークンの作成時に生成されるシークレットキーが必要だからです。このページのリンクを通じて購入されたトークンのみが、トークンシードを AWS と安全に共有します。MFA トークンは、OTP トークンと OTP ディスプレイカードの 2 つの形式で提供されます。

ハードウェア TOTP トークンは AWS GovCloud (米国) リージョンと互換性があり、サードパーティのプロバイダーである Hypersecu が提供しています。このトークンは、AWS GovCloud (米国) アカウントを持つ IAM ユーザーのみが使用できます。

AWS との互換性を確保するには、このページのリンクから MFA トークンを購入する必要があります。他のソースから購入したトークンは IAM では機能しない可能性があります。AWS では固有の「トークンシード」、つまりトークンの作成時に生成されるシークレットキーが必要だからです。このページのリンクを通じて購入されたトークンのみが、トークンシードを AWS と安全に共有します。MFA トークンは OTP トークン形式で提供されます。