AWS

【AWS】ルートアカウントのMFA有効化をやってみた【IAMベストプラクティスへの道】

こんにちは、こもDです。

AWSにアカウントを作成したのですが、AWSの公式HPでは、アカウントに直接ログインして操作するのではなく、“IAM(Identity and Access Management)というユーザ作成から権限付与までできるサービスで使用して、用途に応じたユーザを作成し、そのユーザに最低限の権限を付与することを推奨しています。

今回は、そのIAMのベストプラクティスの初期段階である、ルートアカウントの設定の中のアカウントのMFA有効化をしていきます。

ルートアカウントで設定すべき項目

ルートアカウントでログインし、IAMのダッシュボードを確認すると以下のようにセキュリティステータスが表示されます。

セキュリティステータスには、

・ルートアクセスキーの削除
・ルートアカウントのMFAを有効化
・個々のIAMユーザの作成
・グループを使用したアクセス許可の割り当て
IAMパスワードポリシー

5項目があります。

ルートアカウントを作成した直後は、アクセスキーは作成していないのでルートアクセスキーの削除のステータスは完了になっています。

これらの項目のステータスを全て完了にすると初期設定は終了です。

今回は、ルートアカウントのMFAの有効化を行っていきます。

 

ルートアカウントのMFAを有効化

まず、MFAとはMulti-Factor Authenticationの略のことで、多要素認証を意味します。

要はワンタイムパスワード有効にすることです。

設定しているパスワードとは別に、デバイスから発行される6桁の数字も用いてログインします。

手順はとても簡単で、

1.       デバイスの準備
2.       マネジメントコンソールでデバイスの登録

を行えばOKです。

では、早速やっていきましょう。

1.デバイスの準備

デバイスはハードウェアデバイス仮想デバイスがあります。

ハードウェアデバイスは自身で購入しなければならないので、今回は仮想デバイスを使用します。

仮想デバイスはGoogle Authenticatorというアプリをスマホにインストールし、使用しました。

‎Google Authenticator

‎Google 認証システムを Google アカウントの 2 段階認証プロセスで使用して、ログイン時のセキュリティを強化できます。 2 段階認証プロセスでは、アカウントへのログイン時にパスワードと確認コードの両方が必要になります。このアプリでは確認コードを生成でき、一度設定すればネットワーク接続や携帯電話回線を利用していない場合でも確認コードを受け取ることができます。 主な特長は次のとおりです: - QR コードによる自動設定 - 複数アカウントのサポート - 時間ベースとカウンタベースのコード生成のサポート Google 認証システムを使用するには、お使いの Google アカウ...

Google 認証システム - Google Play のアプリ

Google 認証システムはスマートフォンで 2 段階認証プロセスのコードを生成します。 2 段階認証プロセスでは、ログイン時に 2 段階の確認を求めることで Google アカウントのセキュリティを強化します。パスワードに加えて、スマートフォンの Google 認証システム アプリによって生成されたコードも必要になります。 2 段階認証プロセスについて詳しくは、https://g.co/2step をご覧ください。 機能: * データ接続なしで確認コードを生成 * Google 認証システムは多くのプロバイダとアカウントに対応 * Android Wear に対応 * 「ダーク」テーマを追加 * QR コードによる自動設定 権限に関する注意事項: カメラ: QR コードを使用してアカウントを追加する際に必要です





 

2.マネジメントコンソールでデバイスの登録

次にマネジメントコンソールからIAMダッシュボード上に表視されている以下の画面が表示されます。

MFAの管理」をクリック

すると

このような画面が出てきますが、これは無視で。(×押しちゃってください)

 

その後、上記の画面が出てきますので、「MFAの有効化」をクリック

 

デバイス選択画面が出てくるので、「仮想MFAデバイス」を選択し、続行をクリック

 

ここでGoogle Authenticatorを使用します。

 

Google AuthenticatorからQRコードをスキャンし、アカウント追加をします。

アカウントを追加すると6桁のワンタイムパスワードが出てくるので、そのパスワードをMFAコード1の欄に入力します。

しばらくすると、アプリに表示されているワンタイムパスワードの値が変わるので、変わった値をMFAコード2の欄に入力し、「MFAの割り当て」を押下します。

“仮想MFAが正常に割り当てられました”という上記の画面が出てきたら完了です。

IAMのダッシュボードに戻ると

 

ルートアカウントのMFAを有効化のステータスが完了になりました。

これでMFAの有効化設定は完了です。

次回以降ルートアカウントにログインする際はパスワードを入力後、以下のようにMFAコードの入力も要求されます。



 

 

今回はルートアカウントのMFAの有効化を行いました。

残りの3つは別記事で解説していきたいと思います。