AWS で2FAを有効にする方法
AWSアカウントの侵害はデータ漏洩だけでは済みません — 実際の請求が膨らみます。AWSは管理アカウントのルートユーザーにMFAを必須化しており、「仮想MFAデバイス」の実体は標準TOTPです: 2FAAを含むどの認証アプリでも使えます。
設定パス: AWSコンソール → 右上のアカウントメニュー → セキュリティ認証情報 → MFAデバイスの割り当て
AWS の2FA設定手順
- 1
セキュリティ認証情報を開く
AWSコンソールにサインインし、右上のアカウント名をクリックして「セキュリティ認証情報」を選択します。(IAMユーザーの場合: IAM → ユーザー → 対象ユーザー →「セキュリティ認証情報」タブ。)
- 2
MFAデバイスを割り当てる
「多要素認証(MFA)」セクションで「MFAデバイスの割り当て」をクリック。デバイス名を付けて「認証アプリ」を選択します。
- 3
2FAAでQRコードをスキャン
AWSがQRコード(「QRコードを表示」)とシークレットキーを見せます。2FAAでスキャンすると、6桁のAWSコードが回り始めます。
- 4
連続する2つのコードを入力
AWSは同期確認のため連続する2つのMFAコードを求めます: 2FAAの現在のコードを1つ目の欄に入力し、約30秒待ってコードが変わったら次のコードを2つ目の欄に入力します。
- 5
ルートユーザーと各IAMユーザーで繰り返す
MFAはアイデンティティ単位です。まずルートアカウントを保護し(AWSの必須要件)、次に各IAMユーザーへデバイスを割り当てます — それぞれに固有のQRコードと2FAAエントリーができます。
AWS の2FAコードを2FAAで生成
専用の認証アプリをインストールする必要はありません。2FAAはブラウザで動く無料のTOTPジェネレーター — 秘密鍵はデバイスの外に出ず、PWAとしてオフラインでも動作します。同じ鍵をGoogle AuthenticatorやAuthyと並行して使うこともできます。
よくある質問
AWSが連続する2つのコードを求めるのはなぜ?
認証ツールの時計がAWSと同期していることを確認するためです。2つ続けて正しいコードを入力できれば、偶然の一致ではなく正しいシーケンスを生成していると証明できます。
ルートMFAは本当に必須になったのですか?
はい — 2024年以降、AWSはルートユーザーのMFAを段階的に強制しています。AWS Organizationsの管理アカウントから始まり、スタンドアロンアカウントにも拡大中です。強制通知のメールを待たずに設定しましょう。
AWS CLIでMFAを使うには?
「aws sts get-session-token --serial-number <MFAのARN> --token-code <2FAAのコード>」で一時認証情報を取得するか、プロファイルにmfa_serialを設定します。AIによる自動化なら、2FAAのMCPサーバーがトークンコードをプログラムから供給できます。
1人のAWSユーザーに何個のMFAデバイスを登録できますか?
ユーザーごとに最大8個です(ルート含む)。2つ目のデバイス — 例えばブラウザの2FAAとハードウェアキー — を登録しておけば、どれか1つを失っても安心です。