こんにちは、こもDです。
AWSにアカウントを作成したのですが、AWSの公式HPでは、アカウントに直接ログインして操作するのではなく、“IAM(Identity and Access Management)”というユーザ作成から権限付与までできるサービスで使用して、用途に応じたユーザを作成し、そのユーザに最低限の権限を付与することを推奨しています。
今回は、そのIAMのベストプラクティスの初期段階である、ルートアカウントの設定の中のアカウントのMFA有効化をしていきます。
ルートアカウントで設定すべき項目
ルートアカウントでログインし、IAMのダッシュボードを確認すると以下のようにセキュリティステータスが表示されます。
セキュリティステータスには、
・ルートアクセスキーの削除
・ルートアカウントのMFAを有効化
・個々のIAMユーザの作成
・グループを使用したアクセス許可の割り当て
・IAMパスワードポリシー
の5項目があります。
ルートアカウントを作成した直後は、アクセスキーは作成していないのでルートアクセスキーの削除のステータスは完了になっています。
これらの項目のステータスを全て完了にすると初期設定は終了です。
今回は、ルートアカウントのMFAの有効化を行っていきます。
ルートアカウントのMFAを有効化
まず、MFAとはMulti-Factor Authenticationの略のことで、多要素認証を意味します。
要はワンタイムパスワード有効にすることです。
設定しているパスワードとは別に、デバイスから発行される6桁の数字も用いてログインします。
手順はとても簡単で、
1. デバイスの準備
2. マネジメントコンソールでデバイスの登録
を行えばOKです。
では、早速やっていきましょう。
1.デバイスの準備
デバイスはハードウェアデバイスと仮想デバイスがあります。
ハードウェアデバイスは自身で購入しなければならないので、今回は仮想デバイスを使用します。
仮想デバイスはGoogle Authenticatorというアプリをスマホにインストールし、使用しました。
Google Authenticator
Google 認証システムを Google アカウントの 2 段階認証プロセスで使用して、ログイン時のセキュリティを強化できます。 2 段階認証プロセスでは、アカウントへのログイン時にパスワードと確認コードの両方が必要になります。このアプリでは確認コードを生成でき、一度設定すればネットワーク接続や携帯電話回線を利用していない場合でも確認コードを受け取ることができます。 主な特長は次のとおりです: - QR コードによる自動設定 - 複数アカウントのサポート - 時間ベースとカウンタベースのコード生成のサポート Google 認証システムを使用するには、お使いの Google アカウ...
Google 認証システム - Google Play のアプリ
Google 認証システムはスマートフォンで 2 段階認証プロセスのコードを生成します。 2 段階認証プロセスでは、ログイン時に 2 段階の確認を求めることで Google アカウントのセキュリティを強化します。パスワードに加えて、スマートフォンの Google 認証システム アプリによって生成されたコードも必要になります。 2 段階認証プロセスについて詳しくは、https://g.co/2step をご覧ください。 機能: * データ接続なしで確認コードを生成 * Google 認証システムは多くのプロバイダとアカウントに対応 * Android Wear に対応 * 「ダーク」テーマを追加 * QR コードによる自動設定 権限に関する注意事項: カメラ: QR コードを使用してアカウントを追加する際に必要です
2.マネジメントコンソールでデバイスの登録
次にマネジメントコンソールからIAMダッシュボード上に表視されている以下の画面が表示されます。
「MFAの管理」をクリック
すると
このような画面が出てきますが、これは無視で。(×押しちゃってください)。
その後、上記の画面が出てきますので、「MFAの有効化」をクリック
デバイス選択画面が出てくるので、「仮想MFAデバイス」を選択し、続行をクリック
ここでGoogle Authenticatorを使用します。
Google AuthenticatorからQRコードをスキャンし、アカウント追加をします。
アカウントを追加すると6桁のワンタイムパスワードが出てくるので、そのパスワードをMFAコード1の欄に入力します。
しばらくすると、アプリに表示されているワンタイムパスワードの値が変わるので、変わった値をMFAコード2の欄に入力し、「MFAの割り当て」を押下します。
“仮想MFAが正常に割り当てられました”という上記の画面が出てきたら完了です。
IAMのダッシュボードに戻ると
ルートアカウントのMFAを有効化のステータスが完了になりました。
これでMFAの有効化設定は完了です。
次回以降ルートアカウントにログインする際はパスワードを入力後、以下のようにMFAコードの入力も要求されます。
今回はルートアカウントのMFAの有効化を行いました。
残りの3つは別記事で解説していきたいと思います。