翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS ビルダー ID 多要素認証 (MFA) の管理
多要素認証 (MFA) は、セキュリティを強化するためのシンプルで効果的なメカニズムです。1 つ目の要因であるパスワードは、ユーザーが記憶する秘密であり、知識要因とも呼ばれます。その他の要因としては、所有要因 (セキュリティキーなど、ユーザーが持っているもの) や継承要因 (生体認証スキャンなど、ユーザー自身のもの) があります。 AWS ビルダー IDにレイヤーを追加するように MFA を設定することを強くお勧めします。
組み込みの認証アプリケーションを登録し、物理的に安全な場所に保管するセキュリティキーも登録することができます。組み込みの認証ソフトを使用できない場合は、登録済みのセキュリティキーを使用できます。認証アプリケーションについては、それらのアプリでクラウドバックアップまたは同期機能を有効にすることもできます。これにより、MFA デバイスを紛失または破損した場合に、プロファイルにアクセスできなくなることを防ぐことができます。
## 重要ポイント
+ 複数の MFA デバイスを登録することをお勧めします。登録されているすべての MFA デバイスにアクセスできなくなると、 AWS ビルダー IDの復元ができなくなります。
+ 登録した MFA デバイスを定期的に見直して、最新で機能していることを確認することをお勧めします。また、これらのデバイスは、使用しないときは物理的に安全な場所に保管してください。
+ **[Google で続行]** を使用してアカウントを作成した場合は、Google アカウントを通じて多要素認証を有効にできます。詳細については、「[2 段階認証を有効にする](https://support.google.com/accounts/answer/185839)」を参照してください。
+ **Continue with Apple** を使用してアカウントを作成した場合、Apple アカウントで多要素認証が既に有効になっている可能性があります。そうでない場合は、有効にする方法の詳細については、[「Apple アカウントの 2 要素認証](https://support.apple.com/en-us/102660)」を参照してください。
+ **Continue with GitHub** を使用してアカウントを作成した場合は、GitHub アカウントを通じて多要素認証を有効にできます。詳細については、「[Configuring (GitHub) two-factor authentication](https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication)」を参照してください。
+ **Continue with Amazon** を使用してアカウントを作成した場合は、Amazon アカウントを通じて多要素認証を有効にできます。詳細については、[「2 ステップ検証とは](https://www.amazon.com/gp/help/customer/display.html?nodeId=G3PWZPU52FKN7PW4)」を参照してください。
## で使用できる MFA タイプ AWS ビルダー ID
AWS ビルダー ID は、次の多要素認証 (MFA) デバイスタイプをサポートしています。
### FIDO2 認証機能
[FIDO2](https://fidoalliance.org/fido2/) は CTAP2 と [WebAuthn](https://www.w3.org/TR/webauthn-2/) を含む標準であり、パブリックキー暗号に基づいています。FIDO 認証情報は、認証情報が作成された Web サイト ( AWSなど) 固有のものであるため、フィッシング詐欺に対して強固です。
AWS は、FIDO 認証の最も一般的なフォームファクタとして、組み込み認証とセキュリティキーの 2 つをサポートしています。FIDO 認証機能の最も一般的なタイプの詳細については、以下を参照してください。
**Topics**
+ [組み込みの認証機能](#built-in-auth-aws_builder_id)
+ [セキュリティキー](#security-keys-aws_builder_id)
+ [パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証システム](#other-mfa-aws_builder_id)
#### 組み込みの認証機能
MacBook の TouchID や、Windows Hello 対応のカメラなどの一部デバイスはビルトイン認証システムを装備しています。お使いのデバイスが WebAuthn を含む FIDO プロトコルと互換性がある場合は、指紋や顔を第二の要素として使用できます。詳細については、[FIDO 認証](https://fidoalliance.org/fido2/) を参照してください。
#### セキュリティキー
FIDO2 対応の外付け USB、BLE、または NFC 接続のセキュリティキーを購入できます。MFA デバイスの入力を求められたら、キーのセンサーをタップします。YubiKey または Feitian は互換性のあるデバイスを製造しています。互換性のあるすべてのセキュリティキーのリストについては、[FIDO 認定製品](https://fidoalliance.org/certification/fido-certified-products/ )をご覧ください。
#### パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証システム
複数のサードパーティプロバイダーが、パスワードマネージャー、FIDO モードのスマートカード、その他のフォームの要素の機能として、モバイルアプリケーションの FIDO 認証をサポートしています。これらの FIDO 互換デバイスは IAM Identity Center で動作しますが、このオプションを MFA で有効にする前に FIDO 認証機能をご自身でテストすることをお勧めします。
**注記**
FIDO 認証機能の中には、パスキーと呼ばれる検出可能な FIDO 認証情報を作成できるものもあります。パスキーは、パスキーを作成したデバイスにバインドされている場合もあれば、同期可能でクラウドにバックアップされている場合もあります。例えば、サポートされている Macbook で Apple Touch ID を使ってパスキーを登録し、ログイン時に画面に表示される指示に従って iCloud のパスキーで Google Chrome を使って Windows ラップトップからサイトにログインできます。どのデバイスが同期可能なパスキーをサポートしていると、オペレーティングシステムとブラウザ間の現在のパスキーの相互運用性をサポートしているの詳細は、FIDO アライアンスとワールドワイドウェブコンソーシアム (W3C) が管理するリソースである [passkeys.dev](https://passkeys.dev/) の「[デバイスサポート](https://passkeys.dev/device-support/)」を参照してください。
### 認証アプリケーション
認証アプリケーションは、ワンタイムパスワード (OTP) ベースのサードパーティー認証機能を備えています。モバイルデバイスやタブレットにインストールされた認証アプリケーションを、許可された MFA デバイスとして使用することができます。サードパーティー認証アプリケーションは、6 桁の認証コードを生成できる標準ベースのタイムベースドワンタイムパスワード (TOTP) アルゴリズムである RFC 6238 に準拠している必要があります。
MFA を求めるプロンプトが表示されたら、認証アプリケーションから有効なコードを入力ボックスに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。1 人の ユーザーに対して 2 つの認証アプリを登録することができます。
以下の有名なサードパーティの認証アプリケーションから選択できます。ただし、TOTP 準拠のアプリケーションは AWS ビルダー ID MFA で動作します。
| オペレーティングシステム | テスト済みの認証アプリ |
| --- | --- |
| Android | [1Password](https://play.google.com/store/apps/details?id=com.onepassword.android)、[Authy](https://play.google.com/store/apps/details?id=com.authy.authy)、[Duo Mobile](https://play.google.com/store/apps/details?id=com.duosecurity.duomobile)、[Microsoft Authenticator](https://play.google.com/store/apps/details?id=com.azure.authenticator)、[Google Authenticator](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) |
| iOS | [1Password](https://apps.apple.com/us/app/1password-password-manager/id1511601750)、[Authy](https://apps.apple.com/us/app/authy/id494168017)、[Duo Mobile](https://apps.apple.com/us/app/duo-mobile/id422663827)、[Microsoft Authenticator](https://apps.apple.com/us/app/microsoft-authenticator/id983156458)、[Google Authenticator](https://apps.apple.com/us/app/google-authenticator/id388497605) |
## AWS ビルダー ID MFA デバイスを登録する
**注記**
MFA にサインアップし、サインアウトしてから同じデバイスでサインインすると、信頼できるデバイスでは MFA の入力を求められない場合があります。
**認証アプリケーションを使用して MFA デバイスを登録するには**
1. で AWS ビルダー ID プロファイルにサインインします[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。
1. **セキュリティ**を選択します。
1. **セキュリティ** ページで、**デバイスの登録**を選択します。
1. **MFA デバイスの登録** ページで、**認証アプリケーション**を選択します。
1. AWS ビルダー ID は、QR コードグラフィックを含む設定情報を操作して表示します。図は、QR コードに対応していない認証アプリケーションでの手動入力に利用できる「シークレット設定キー」を示しています。
1. 認証アプリケーションを開きます。アプリのリストについては、「[認証アプリケーション](#auth-apps-aws_builder_id)」を参照してください。
認証アプリケーションが複数の MFA デバイスまたはアカウントをサポートしている場合は、新しい MFA デバイスまたはアカウントを作成するオプションを選択します。
1. MFA アプリケーションが QR コードをサポートしているかどうかを判断し、**認証アプリケーションの設定** ページで以下のいずれかの操作を行います。
1. **QR コードの表示**を選択し、アプリケーションを使用して QR コードをスキャンします。例えば、カメラアイコンまたは **スキャンコード** に似たオプションを選択します。次に、デバイスのカメラでコードをスキャンします。
1. **シークレットキーを表示**をクリックし、そのシークレットキーを MFA アプリケーションに入力します。
完了すると、認証アプリケーションがワンタイムパスワードを生成して表示します。
1. **認証システムコード**ボックスに、現在認証アプリケーションに表示されているワンタイムパスワードを入力します。**MFA の割り当て**を選択します。
**重要**
コードを生成したら、即時にリクエストを送信します。コードを生成し、リクエストの送信に時間がかかりすぎると、MFA デバイスは に正常に関連付けられますが AWS ビルダー ID、MFA デバイスは同期されません。これは、タイムベースドワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、デバイスの再同期ができます。詳細については、「[認証アプリケーションを使用して登録やサインインをしようとすると、「予期しないエラーが発生しました」というメッセージが表示されます](troubleshooting-builder-id-issues.md#syncing-mfa-aws_builder_id)」を参照してください。
1. デバイスにわかりやすい名前を付けるには AWS ビルダー ID、**名前の変更**を選択します。この名前は、このデバイスを登録した他のデバイスと区別するのに役立ちます。
これで、MFA デバイスを で使用する準備ができました AWS ビルダー ID。
## セキュリティキーを AWS ビルダー ID MFA デバイスとして登録する
**セキュリティキーを使用して MFA デバイスを登録するには**
1. で AWS ビルダー ID プロファイルにサインインします[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。
1. **セキュリティ**を選択します。
1. **セキュリティ**ページで、**デバイスの登録**を選択します。
1. **MFA デバイスの登録**ページで、**セキュリティキー**を選択します。
1. セキュリティキーが有効になっていることを確認します。別の物理セキュリティキーを使用する場合は、それをコンピューターに接続します。
1. 画面上の指示に従います。操作性は、オペレーティングシステムとブラウザによって異なります。
1. デバイスにわかりやすい名前を付けるには AWS ビルダー ID、**名前の変更**を選択します。この名前は、このデバイスを登録した他のデバイスと区別するのに役立ちます。
これで、MFA デバイスを で使用する準備ができました AWS ビルダー ID。
## AWS ビルダー ID MFA デバイスの名前を変更する
**MFA デバイスの名前を変更するには**
1. で AWS ビルダー ID プロファイルにサインインします[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。
1. **セキュリティ**を選択します。ページに到達すると、**名前の変更**がグレーアウトされていることがわかります。
1. 変更する MFA デバイスを選択します。これにより、**名前の変更**を選択できます。そしたら、ダイアログボックスが表示されます。
1. 表示されるプロンプトで、**MFA デバイス名**に新しい名前を入力し、**名前の変更**を選択します。名前を変更したデバイスは、**多要素認証 (MFA) デバイス**に表示されます。
## MFA デバイスの削除
2 つ以上の MFA デバイスをアクティブに保つことを推奨します。デバイスを削除する前に、「[AWS ビルダー ID MFA デバイスを登録する](#register-mfa-aws_builder_id)」を参照して交換用の MFA デバイスを登録してください。の多要素認証を無効にするには AWS ビルダー ID、プロファイルから登録されたすべての MFA デバイスを削除します。
**MFA デバイスを削除するには**
1. で AWS ビルダー ID プロファイルにサインインします[https://profile.aws.amazon.com](https://profile.aws.amazon.com)。
1. **セキュリティ**を選択します。
1. 変更する MFA デバイスを選択したら、**削除**を選択します。
1. **MFA デバイスを削除しますか?**モーダルでは、指示に従ってデバイスを削除してください。
1. **削除**をクリックします。
削除したデバイスは、**[Multi-factor authentication (MFA) devices]** (多要素認証 (MFA) デバイス) に表示されなくなります。