ログイン時にセカンダリ ID 検証を行うために、仮想 MFA デバイスを Alibaba Cloud アカウントにアタッチできます。これにより、Alibaba Cloud アカウントのセキュリティが向上します。このトピックでは、仮想 MFA デバイスをアタッチまたはデタッチする方法について説明します。
MFA とは何か、なぜ設定する必要があるのか
多要素認証 (MFA) は、ユーザー名とパスワードに加えて、追加の保護レイヤーを追加するセキュリティのベストプラクティスです。
MFA を有効にすると、Alibaba Cloud にログインするために 2 つの検証ステップを完了する必要があります:
最初の検証: ユーザー名とパスワードを入力します。
2 番目の検証: 仮想 MFA デバイスによって 30 秒ごとに自動的に生成される 6 桁の動的確認コードなど、別の形式の認証を提供します。
二要素認証を使用すると、パスワードが漏洩した場合でも、スマートフォンがなければ誰もアカウントにログインできません。これにより、アカウントの盗難を効果的に防ぎ、アカウントのセキュリティを大幅に向上させることができます。
Alibaba Cloud アカウントがサポートする MFA メソッド
Alibaba Cloud アカウントは、ショートメッセージの確認コードなど、複数の多要素認証 (MFA) メソッドをサポートしています。このトピックでは、ソフトウェアベースの多要素認証アプリケーションである仮想 MFA デバイスに焦点を当てます。仮想 MFA デバイスは、時間ベースのワンタイムパスワード (TOTP) 標準 (RFC 6238) に準拠したアプリです。30 秒ごとに新しい 6 桁の確認コードを生成します。このコードは、ログインやその他の重要な操作中のセカンダリ認証に使用します。
推奨される仮想 MFA アプリケーション
Google Authenticator: Android および iOS 向けの主流の TOTP 標準アプリです。
その他の TOTP 互換認証アプリ: Microsoft Authenticator や Authenticator (Windows Phone 用) など。
仮想 MFA のベストプラクティス
MFA の有効化: 仮想 MFA デバイスを Alibaba Cloud アカウントにアタッチすることは、クラウド上の資産を保護するための重要なステップです。
アンインストール前のデタッチ: 仮想 MFA アプリケーション (Alibaba Cloud アプリなど) をアンインストールしたり、スマートフォンを変更したりする前に、まず仮想 MFA デバイスをデタッチする必要があります。そうしないと、ログインできなくなります。
共有アカウントの処理: 複数のユーザーがアカウントを共有している場合は、最初に仮想 MFA デバイスをアタッチするときに QR コードのスクリーンショットを撮ります。他のユーザーは、Alibaba Cloud アプリまたは Google Authenticator で QR コードをスキャンできます。これにより、複数のユーザーが動的確認コードを同期して取得できます。
アカウント保護の有効化
Alibaba Cloud アカウントセンターにログインします。[セキュリティ設定] ページに移動します。[アカウント保護] セクションで、[表示] をクリックして [アカウント保護] 設定ページに移動します。
[アカウント保護の有効化] ページで、1 つ以上のシナリオと検証方法を選択します。[OK] をクリックして ID 検証ページに移動します。
TOTP 検証
ID 検証ページで、メールアドレスまたは電話番号を使用して認証できます。
スマートフォンに Google Authenticator をダウンロードしてインストールします。インストールが完了したら、[次へ] をクリックしてアタッチページに移動します。すでにアプリをインストールしている場合も、[次へ] をクリックできます。
Google Authenticator を使用して QR コードをスキャンし、6 桁の確認コードを取得します。コードを入力し、[次へ] をクリックしてアカウント保護設定を完了します。
ショートメッセージ検証
[ID の確認] ページで、[電話番号] に送信されたショートメッセージの確認コードを受信できます。
ショートメッセージから確認コードを入力し、[OK] をクリックしてアカウント保護設定を完了します。
説明[ショートメッセージ検証] メソッドを選択し、アカウントに電話番号がアタッチされていない場合は、まずメールアドレスを使用して認証する必要があります。その後、電話番号をアタッチしてアカウント保護を有効にできます。
これで [アカウント保護が有効] になりました。
仮想 MFA デバイスのデタッチ
スマートフォンを紛失しておらず、仮想 MFA アプリケーションを削除していない場合は、次の手順に従って仮想 MFA デバイスをデタッチします:
Alibaba Cloud アカウントセンターにログインします。[セキュリティ設定] ページに移動します。[アカウント保護] セクションで、[編集] をクリックして [アカウント保護] 設定ページを開きます。
[アカウント保護設定] セクションの [オフにする] をクリックして、アカウント保護をオフにできます。また、検証方法セクションの [オフにする] をクリックして、特定の検証方法をオフにすることもできます。さらに、[変更] をクリックして、特定のシナリオを有効または無効にできます。
[ID の確認] ページで、Alibaba Cloud アプリまたは Google Authenticator を開き、6 桁の動的確認コードを入力して ID 検証を完了します。[別の方法を試す] をクリックして、電話またはメールに送信されたコードを使用して ID を確認することもできます。
ID 検証が完了すると、アカウント保護がオフになります。
上記の方法で Alibaba Cloud アカウントの MFA デバイスをデタッチできず、ログインもできない場合は、申し立てを送信してデタッチを完了する必要があります。詳細については、「利用できない仮想 MFA デバイスまたは IP アドレスマスクによってログインがブロックされる」をご参照ください。