多要素認証 (MFA)

無料の MFA デバイスの仮想トークンは、Authy、Duo Mobile、LastPass Authenticator、Google Authenticator、Microsoft Authenticator などを使用できます。

ルートユーザーと IAM ユーザーで MFA を有効化

ルートユーザーと IAM ユーザーで簡単に多要素認証 (MFA) を有効化できます

MFA

  • MFA の説明
  • MFA の有効化方法
  • MFA を有効にすると、パスワード復元プロセスが強化されます。MFA を解除するために、メールで届くワンタイムパスワード (OTP) に加えて、音声通話による OTP が追加されます。

AWS IAM Identity Center で MFA を有効化

AWS IAM Identity Center でも簡単に MFA を有効化できます

MFA

Amazon Cognito で MFA を有効化

Amazon Cognito のアプリユーザー認証 (CIAM) で簡単に MFA を有効化できます

MFA

すべてのユーザーに対する MFA

セキュリティ上の理由から、ルートユーザーや特権ユーザーから始めて、理想的にはすべてのユーザーに対して MFA を使用することが推奨です。

あらゆる場所での MFA

セキュリティ上の理由から、すべてのユーザー認証で MFA を使用することが推奨です。もしユーザー体験に影響を与え、組織で受け入れられない場合、Context-aware 認証 (またはアダプティブ認証) が良い妥協点となります。使用デバイスが変更された場合や、通常とは異なる国からアクセスがある場合、または異常な行動がある場合にのみ MFA を要求します (AWS IAM Identity CenterAmazon Cognito でサポートされています)。

Well-Architected Framework の推奨事項マッピング

主なリスクと軽減

  • [認証情報の取得 (Credential Access)] - 脅威アクターはパスワードを取得するために複数の手法 (パスワード類推、キーロガー、総当たり攻撃、辞書攻撃) を使用します。MFA デバイスを使用することで「所持情報」や「生体情報」という追加のセキュリティ層が加わり、攻撃者の進行を阻止します。

評価のガイダンス

  • すべてのルートユーザーで MFA が有効になっていますか?(または、Organizations 管理アカウントのルートユーザーで有効にし、他のすべてのルートユーザーは SCP で無効化されていますか?)
  • MFA デバイスは適切に施錠された場所で保管されていますか?(または、清掃員などが簡単にアクセスできる場所にありますか?)
  • 従業員のための ID プロバイダーが MFA を要求するように設定されていますか?また、それはどのように設定されていますか?
  • MFA が設定されていない IAM ユーザーがいますか?(注:IAM ユーザーなどの永続的な認証情報の使用は避けてください)
  • アプリケーションの重要なタスクに対して、顧客向けの MFA が有効になっていますか (CIAM)?

料金

  • IAM ユーザーで MFA を有効にすることや Cognito で MFA を使用することに対し、追加コストはかかりません
  • 物理的な MFA デバイスを使用する場合は、AWS の MFA と互換性のあるサードパーティベンダー (Gemalto または Yubico) から購入する必要があります。詳細については、Yubico または Gemalto のウェブサイトをご覧ください。