この記事の目次
AWSとは

AWS MFAとは?

AWS MFA6つの使用方法

デバイスの有効化
AWS MFAでは、有効化できるデバイスは、AWSアカウントのあるルートユーザーまたはIAMユーザーごとに1つのみとなります。 IAMユーザーは、AWSマネジメントコンソール、AWS CLI、またはIAM APIから有効になります。また、IAM U2Fセキュリティキーを使用するユーザーは、AWSマネジメントコンソールからのみ有効になります。 アカウントルートユーザーは、AWSマネジメントコンソールからのみ有効になります。ステータスのチェック
ステータスをチェックするには、まずはIAMコンソールを開きます。 次に、ナビゲーションペインを開き、Usersを選択し、USERSテーブルをMFA列に追加します。そして、右端のテーブルで、設定アイコンを選択します。 その後、Manage Columns(列の管理)にあるMFAを選択します。ユーザーテーブルに表示しない列の見出しのチェックボックスをオフにして、最後にClose(閉じる)を選択すれば完了です。仮想およびハードウェアMFAデバイスの再同期
AWS IAMユーザーの仮想または、ハードウェアMFAデバイスが同期されていない場合、そのデバイスを再同期することができます。デバイスを使用するときに、そのデバイスが同期されていないと、サインインが失敗してしまいます。 その場合、ルートユーザーMFAデバイスが動作していない時には、IAMコンソールを使用してルートユーザーMFAデバイスを再同期できます。デバイスの無効化
デバイス無効化の操作方法するには、まずAWSマネジメントコンソールにサインインします。 次に、ナビゲーションペインを開きユーザーを選択します。 MFAを持つユーザーの名前を選択し、MFAデバイスを非アクティブ化または、削除するMFAを持つユーザーの名前を選択します。 Security credentialsタブを選択し、Assigned MFA device(割り当て済みのMFAデバイス)の横で、管理を選択します。 MFAデバイスの管理ウィザードで、順番にMFAデバイスの無効化を選択し、 次のステップを選択します。そうすると、デバイスはAWSから削除が完了します。 そのデバイスは再び有効化され、関連付けられるまでAWSユーザー、AWSアカウントまたはルートユーザーサインインやリクエストの認証で使用できません。デバイスの紛失および故障時の対応
AWS MFAでは、AWSアカウントのルートユーザーがMFAデバイスを無くしたり、破損したり、機能しなくなった場合でもアカウントへのアクセスするための回復手段があります。 その方法ですが、IAMユーザーからデバイスを非アクティブ化するよう、管理者にアクセス回復を依頼してください。WFA保護とAPIアクセスの設定
AWS MFAでは、IAMポリシーを使用して、呼び出すAPIオペレーションを指定できます。 ユーザーは重要なアクションを実行できますが、その前にAWS多要素認証(MFA) でユーザー認証を求められます。その場合、追加のセキュリティが必要となることもありますので注意が必要です。AWS MFAの4つの機能

仮想MFAデバイス
仮想MFAデバイスとは、電話などの物理デバイスでエミュレートする ソフトウェアアプリケーションです。 仮想MFAデバイスは、使用する際 6桁の数値コードを生成します。 まずは、デバイスから取得したコードを2番目のウェブページに入力します。割り当てられた各仮想MFAデバイスは一意であることが必要です。 また、別のユーザーの仮想MFAデバイスからではコードを入力しても認証されません。セキュリティ保護されていないモバイルデバイス上でも実行できるため、仮想MFAはセキュリティ面でU2FデバイスやハードウェアMFAデバイスに劣る場合があります。 ですから、ハードウェアの購入承認が完了する、またはハードウェアが到着するまでの間のみ、仮想MFAデバイスを使用しましょう。U2Fセキュリティキー
U2Fセキュリティキーとは、AWS MFAの物理デバイスの一つで、コンピュータのUSBポートに接続するデバイスです。 FIDO Allianceが運用しているオープン認証規格それが、U2Fセキュリティキーです。こちらのデバイスはユーザーが購入する物理デバイスです。 U2Fセキュリティキーを有効にすると、サインインするときにコードの認証情報を入力してデバイスをタップするだけになります。ハードウェアMFAデバイス
ハードウェアMFAデバイスは、AWS MFAの物理デバイスの一つです。 使用方法は仮想MFAデバイスと同じで、仮想MFAデバイスと同じようにパスワードを習得する必要があります。 コチラのデバイスもユーザーでの購入が必要となります。違いは、仮想MFAデバイスよりセキュリティ面で優れている点です。 他にも、AWSに署名するときに表示するコードを生成することで、プロンプトが表示されます。あとは表示されたプロンプトに署名するだけです。SMSテキストメッセージベースMFA
SMSテキストメッセージベースMFAでは、IAMユーザー設定にSMS対応モバイルデバイスの電話番号が含まれています。 サインインする際に、AWSから6桁の数値コードをSMSテキストメッセージからモバイルデバイスに送信されます。 まずは、習得したコードを2番目のウェブページに入力する必要があり、IAMユーザーにのみSMSベースのMFAは使用できます。AWSアカウントのルートユーザーにこのタイプのMFAは使用できません。AWS MFAのまとめ
