ログイン時に二次的な本人確認を行うため、ご利用の Alibaba Cloud アカウントに仮想 MFA デバイスをアタッチできます。これにより、Alibaba Cloud アカウントのセキュリティが向上します。本トピックでは、仮想 MFA デバイスのアタッチおよびデタッチ方法について説明します。
多要素認証 (MFA) とは? なぜ設定する必要がありますか?
多要素認証 (MFA) は、ユーザー名とパスワードに加えて、追加の保護レイヤーを提供するセキュリティ上のベストプラクティスです。
MFA を有効化すると、Alibaba Cloud へのログイン時に以下の 2 段階の本人確認を完了する必要があります:
第 1 段階の本人確認:ユーザー名とパスワードを入力します。
第 2 段階の本人確認:仮想 MFA デバイスが 30 秒ごとに生成する 6 桁の動的コードなど、別の認証方式を使用します。
この 2 段階認証により、万が一パスワードが漏洩した場合でも、物理的なデバイスがなければ誰もアカウントにログインできません。これにより、アカウントの不正取得を防止し、セキュリティを大幅に強化できます。
Alibaba Cloud アカウントでサポートされる MFA 方式
Alibaba Cloud アカウントでは、ショートメッセージによる本人確認など、複数の MFA 方式がサポートされています。本トピックでは、ソフトウェアベースの MFA アプリケーションである 仮想 MFA デバイス に焦点を当てます。仮想 MFA デバイスは、時間ベースのワンタイムパスワード(TOTP)標準(RFC 6238)に準拠したアプリケーションであり、ログインやその他の重大な操作時の二次認証のために、30 秒ごとに 6 桁の動的コードを生成します。
推奨される仮想 MFA アプリケーション
Google Authenticator:Android および iOS 向けの主流 TOTP 標準アプリケーションです。
その他の TOTP 互換認証アプリケーション:Microsoft Authenticator や Windows Phone 向け Authenticator などがあります。
仮想 MFA のベストプラクティス
MFA の有効化:Alibaba Cloud アカウントに仮想 MFA デバイスをアタッチすることは、クラウド上の資産を保護する上で重要なステップです。
アンインストール前のデタッチ:仮想 MFA アプリケーション(例:Alibaba Cloud アプリ)をアンインストールする場合、または端末を変更する場合は、事前に仮想 MFA デバイスをデタッチする必要があります。これを怠ると、ログインできなくなります。
共有アカウントの取り扱い:複数のユーザーが同一アカウントを共有している場合、仮想 MFA デバイスを初めてアタッチする際に QR コードのスクリーンショットを撮影してください。他のユーザーは、この QR コードを Alibaba Cloud アプリまたは Google Authenticator でスキャンすることで、動的認証コードを同期して取得できます。
仮想 MFA デバイスのアタッチ
Alibaba Cloud アカウントセンター にログインします。セキュリティ設定 ページに移動し、その他の設定 セクション内の 設定 を アカウント保護 に対してクリックします。
アカウント保護の有効化 ページで、1 つ以上のシナリオおよび認証方式を選択します。OK をクリックして本人確認ページに進みます。
TOTP 認証
本人確認ページで、メールアドレスまたは携帯電話番号を用いて本人確認を行います。
モバイル端末に Google Authenticator をダウンロード・インストールします。インストールが完了したら、次へ をクリックしてアタッチページに進みます。すでにアプリケーションをインストール済みの場合は、次へ をクリックします。
Google Authenticator を使用して QR コードをスキャンし、6 桁の認証コードを取得して入力した後、次へ をクリックしてアカウント保護の設定を完了します。
ショートメッセージによる本人確認
本人確認 ページで、携帯電話 に送信されるショートメッセージの認証コードを受信します。
ショートメッセージから受信した認証コードを入力し、OK をクリックしてアカウント保護の設定を完了します。
説明ショートメッセージによる本人確認 を選択した場合、アカウントに携帯電話番号が登録されていないと、まずメールアドレスによる本人確認を完了する必要があります。その後、携帯電話番号を登録してアカウント保護を有効化できます。
アカウント保護の 有効化 が正常に完了しました。
仮想 MFA デバイスのデタッチ
スマートフォンを紛失していない、および仮想 MFA アプリケーションを削除していない場合は、以下の手順で仮想 MFA デバイスをデタッチできます:
Alibaba Cloud アカウントセンター にログインします。セキュリティ設定 ページに移動し、その他の設定 エリア内の 変更 を アカウント保護 に対してクリックします。
アカウント保護設定 セクションで、無効化 をクリックしてアカウント保護を無効化できます。また、認証方式セクションで 無効化 をクリックして特定の認証方式を無効化することも可能です。さらに、編集 をクリックして、有効化または無効化する シナリオ を選択できます。
本人確認 ページで、Alibaba Cloud アプリまたは Google Authenticator を起動 し、6 桁の動的認証コードを入力して本人確認を完了します。また、別の方法を試す をクリックして、携帯電話またはメールアドレスに送信されたコードで本人確認を行うこともできます。
本人確認が完了すると、アカウント保護が無効化されます。
上記の方法で Alibaba Cloud アカウントの MFA デバイスをデタッチできない場合、またはログインできない場合は、デタッチを完了するために異議申し立てを提出できます。詳細については、「利用不可の仮想 MFA デバイスまたは IP アドレスマスクによってログインがブロックされた場合」をご参照ください。