IAM の多要素認証 (MFA)

MFA デバイスは IAM コンソールで管理できます。以下のオプションは、IAM がサポートする MFA メソッドです。

FIDO 認定のハードウェアセキュリティキーは、Yubico などのサードパーティープロバイダーが提供するものです。FIDO アライアンスは、FIDO 規格に適合するすべての FIDO 認定製品のリストを管理しています。FIDO 認証標準はパブリックキー暗号に基づいているため、パスワードよりも安全な、強固でフィッシングに強い認証が可能になります。FIDO セキュリティキーは、1 つのセキュリティキーを使用して複数のルートアカウントと IAM ユーザーをサポートします。FIDO セキュリティキーのサポート対象は、AWS GovCloud (米国) リージョンおよびその他の AWS リージョンの IAM ユーザーです。FIDO セキュリティキーの有効化の詳細については、「FIDO セキュリティキーの有効化」を参照してください。

AWS は、対象となる米国の AWS アカウント所有者に、無料の MFA セキュリティキーを提供しています。資格を確認してキーをリクエストするには、Security Hub コンソールを参照してください。

仮想認証アプリケーションは、タイムベースドワンタイムパスワード (TOTP) アルゴリズムを実装し、1 つのデバイスで複数のトークンをサポートします。仮想認証システムのサポート対象は、AWS GovCloud (米国) リージョンおよびその他の AWS リージョンの IAM ユーザーです。仮想認証システムの有効化の詳細については、「仮想多要素認証 (MFA) デバイスの有効化」を参照してください。

スマートフォン用のアプリケーションは、お使いのスマートフォンのタイプに応じたアプリストアからインストールできます。一部のアプリケーションプロバイダーは、ウェブアプリケーションとデスクトップアプリケーションも提供しています。次の表を参照してください。

ハードウェアトークンは TOTP アルゴリズムもサポートしており、サードパーティープロバイダーである Thales が提供しています。 このトークンは AWS アカウントでのみ使用できます。詳細については、ハードウェア MFA デバイスの有効化を参照してください。

AWS との互換性を確保するには、このページのリンクから MFA トークンを購入する必要があります。他のソースから購入したトークンは IAM では機能しない可能性があります。AWS では固有の「トークンシード」、つまりトークンの作成時に生成されるシークレットキーが必要だからです。このページのリンクを通じて購入されたトークンのみが、トークンシードを AWS と安全に共有します。MFAトークンは、OTPトークンと OTPディスプレイカードの2つの形式で提供されます。

ハードウェア TOTP トークンは AWS GovCloud (米国) リージョンと互換性があり、サードパーティプロバイダーの Hypersecu によって提供されます。このトークンは、AWS GovCloud (米国) アカウントを持つ IAM ユーザーのみが使用できます。

AWS との互換性を確保するには、このページのリンクから MFA トークンを購入する必要があります。他のソースから購入したトークンは IAM では機能しない可能性があります。AWS では固有の「トークンシード」、つまりトークンの作成時に生成されるシークレットキーが必要だからです。このページのリンクを通じて購入されたトークンのみが、トークンシードを AWS と安全に共有します。MFA トークンはOTP トークン形式で提供されます。