【AWS】ルートアカウントのMFA有効化をやってみた【IAMベストプラクティスへの道】

July 7, 2019December 14, 2022

こんにちは、こもDです。

AWSにアカウントを作成したのですが、AWSの公式HPでは、アカウントに直接ログインして操作するのではなく、“IAM(Identity and Access Management)”というユーザ作成から権限付与までできるサービスで使用して、用途に応じたユーザを作成し、そのユーザに最低限の権限を付与することを推奨しています。

今回は、そのIAMのベストプラクティスの初期段階である、ルートアカウントの設定の中のアカウントのMFA有効化をしていきます。

ルートアカウントで設定すべき項目

ルートアカウントでログインし、IAMのダッシュボードを確認すると以下のようにセキュリティステータスが表示されます。

セキュリティステータスには、

・ルートアクセスキーの削除
・ルートアカウントのMFAを有効化
・個々のIAMユーザの作成
・グループを使用したアクセス許可の割り当て
・IAMパスワードポリシー

の5項目があります。

ルートアカウントを作成した直後は、アクセスキーは作成していないのでルートアクセスキーの削除のステータスは完了になっています。

これらの項目のステータスを全て完了にすると初期設定は終了です。

今回は、ルートアカウントのMFAの有効化を行っていきます。

ルートアカウントのMFAを有効化

まず、MFAとはMulti-Factor Authenticationの略のことで、多要素認証を意味します。

要はワンタイムパスワード有効にすることです。

設定しているパスワードとは別に、デバイスから発行される6桁の数字も用いてログインします。

手順はとても簡単で、

1. デバイスの準備
2. マネジメントコンソールでデバイスの登録

を行えばOKです。

では、早速やっていきましょう。

１．デバイスの準備

デバイスはハードウェアデバイスと仮想デバイスがあります。

ハードウェアデバイスは自身で購入しなければならないので、今回は仮想デバイスを使用します。

仮想デバイスはGoogle Authenticatorというアプリをスマホにインストールし、使用しました。

‎Google Authenticator
‎Google 認証システムを Google アカウントの 2 段階認証プロセスで使用して、ログイン時のセキュリティを強化できます。 2 段階認証プロセスでは、アカウントへのログイン時にパスワードと確認コードの両方が必要になります。このアプリでは確認コードを生成でき、一度設定すればネットワーク接続や携帯電話回線を利用していない場合でも確認コードを受け取ることができます。主な特長は次のとおりです: - QR コードによる自動設定 - 複数アカウントのサポート - 時間ベースとカウンタベースのコード生成のサポート Google 認証システムを使用するには、お使いの Google アカウ...

Google 認証システム - Google Play のアプリ
Google 認証システムはスマートフォンで 2 段階認証プロセスのコードを生成します。 2 段階認証プロセスでは、ログイン時に 2 段階の確認を求めることで Google アカウントのセキュリティを強化します。パスワードに加えて、スマートフォンの Google 認証システムアプリによって生成されたコードも必要になります。 2 段階認証プロセスについて詳しくは、https://g.co/2step をご覧ください。機能: * データ接続なしで確認コードを生成 * Google 認証システムは多くのプロバイダとアカウントに対応 * Android Wear に対応 * 「ダーク」テーマを追加 * QR コードによる自動設定権限に関する注意事項: カメラ: QR コードを使用してアカウントを追加する際に必要です