UKey's Labo

MFA(Multi-Factor Authentication)を使おう

概要

まず知らなければいけないのは、
AWSマネジメントコンソールに初めてサインインした場合のアカウントは、Linuxでいうrootアカウントということです。

全ての権限を持っており、何でもできてしまいます。
そのため、悪意のある第三者に不正にログインされてしまった場合は、何をされるかわからない

ということで、MFAという機能を使い、このrootアカウントでのログインには、2要素認証を行うことにします。

デバイスの用意

MFAで2要素認証を行うには、デバイスを使用する必要があり、使用できるデバイスは以下。

ここでは、スマートフォンを使用します。
ちなみにスマートフォンでは、アプリをインストールする必要があります。

AWSの設定をする前に、「Google Authenticator」をインストールしておく。
※以下はiPhoneの画面です。

MFAを設定する

AWSにログインし、Serviceをクリック、
Security, Identity & Compliance > IAMを選択する。

「Security Status」から、
Activate MFA on your root accountをクリックして開き、
[Manage MFA]をクリック。

「A virtual MFA device」にチェックが入っていることを確認して、[Next Step]をクリック

「認証用のアプリケーションを先にスマホにインストールしといてね」と促されるので、   ここまでにはアプリをインストールしておく。   [Next Step]をクリック。

QRコードが画面に出力されるので、スマホのGoogle Authenticatorを開いて、QRコードを読み込む。
※セキュリティの都合上、下の画像は加工してます。

スマホから、Google Authenticatorを開き、「設定を開始」をタップ、「バーコードをスキャン」。

バーコードをスキャンすると、以下のような画面で認証コードが表示されるので、
AWSの、

にコードを入力する。

このコードは、一定時間が経過するごとに次々と発行されるため、結構慌てて入力する必要があります。
連続して表示された認証コードを入力すれば完了。   ひとつ飛ばしなどで入力した場合は、認証失敗となります。

以下の画面が出れば、認証成功。

ルートアカウントでのログイン

一旦サインアウトし、再度ルートアカウントでログイン画面へ

パスワードを入力し、サインイン。

すると、以下の画面となり、多要素認証が必要となります。

ここで、スマホのGoogle Authenticatorを開き、表示されている認証コードを、 MFAコードに入力して、[送信]をクリック。

ログインができれば、成功。
これでルートアカウントには、仮想デバイスを使用してのログインしかできなくなります。

[amazon_link asins=’4797392576′ template=’custom’ store=’takayuki57101-22′ marketplace=’JP’ link_id=’96a42d09-6f87-11e8-812a-0119c49cd5c2′]