AWS(Amazon Web Services)では、セキュリティを強化するためにIAM(Identity and Access Management)ユーザーに対して多要素認証(MFA)を設定することができます。
MFAを有効にすることで、不正なアクセスからアカウントを保護し、セキュリティを向上させることができます。この記事では、IAMユーザーでMFAを設定する手順を紹介します。
MFAとは?
AWSのMFA(Multi-Factor Authentication)は、アカウントに対する追加のセキュリティ提供する仕組みです。通常のユーザー名とパスワードだけでなく、さらに別の要素を組み合わせて認証を行います。これにより、アカウントの不正アクセスから保護され、セキュリティが向上します。
AWSでは、物理的なMFAデバイス(例: ハードウェアキー)や、仮想MFAデバイス(スマートフォンアプリなど)を使用することができます。 MFAはセキュリティを高め、アカウントへの不正アクセスを防ぐ上で重要な要素となります。
AWSのIAMユーザ多要素認証(MFA)設定手順
今回は、GoogleAuthenticatorを利用した。IAMユーザの多要素認証設定手順を実施していきます。
IAMユーザへログインする
多要素認証を設定したいアカウントでログインします。
この時点では、MFA認証が無い事を確認しましょう。
MFA設定後はログイン時の動きが変わります。
セキュリティ認証情報の選択
ログイン後画面の画面右上にある”アカウント名@12桁のアカウントID”をクリックし、
”セキュリティ認証情報”をクリックする。
MFA割り当ての実施
IAMの画面へ移動します。
この時、今ログインしているアカウントに、多要素認証(MFA)が設定されていない場合、
”MFAが割り当てられていません”という、注意文が表示されるので、右側の”MFAを割り当てる”をクリックします。
MFAデバイスを選択する
MFA device name(デバイス名)を入力し、
MFA deviceには”Authenticator app”を選択しましょう。
問題無ければ”次へ”をクリックしてください。
デバイスの設定をする
ここでは、手元のブラウザまたは、スマートフォンのアプリからQRコードを読み取り、MFAコードを設定しておきます。
”QRコードを表示”をクリックしQRコードを表示させます。
ブラウザの場合、GoogleChromeの拡張機能を使います。
対象の拡張機能は下のURLから追加できます。(GoogleChromeブラウザでのアクセスが必要)
スマホの場合、アプリストアで”Google Authenticator”と検索し、アプリをダウンロードしてください。
MFAコードを
・MFAコード1
・MFAコード2
に貼り付ける(それぞれ別のコード)
画面右下の、”MFAを追加”をクリックする。
IAMの画面に戻り、画面上部に”割り当て済みのMFAデバイス”というメッセージが表示されていれば多要素認証の設定は完了です。
AWSのIAMユーザ多要素認証(MFA)の確認
それでは、ログイン時に2段階認証が必要になっているか確認したいと思います。
ログイン後画面の画面右上にある”アカウント名@12桁のアカウントID”をクリックし、
”サインアウト”をクリックする。
AWSのトップ画面に移動したことを確認し、
”もう一度ログインする”をクリックします。
最初にログインしたアカウントと同じアカウント情報を入力して、サインインをクリックしてください。
最初のログイン時の時計にはなかったはずのMFA認証というMFAコードを入力する画面になっているはずです。
MFA認証設定時と同じく拡張機能をまたはスマートフォンのアプリを使ってMFAコードを取得し入力してください。
MFAコードを入力してもログインできない場合
MFA認証設定をしてすぐにログイン仕様とした場合AWS側のサーバーと同期がされておらずログインできない場合があります。
その場合は何度かログインを試み、3回ほど認証できない状態が続くと、再同期するための画面に移動します。
MFAコードを2種類入力し”再同期とサインイン”をクリックしてください。
無事ログインできました。
まとめ
IAMユーザーのログイン時多要素認証設定はAWSの運用をしていく中でも非常に重要な要素となります。
どのようなアカウントでも必須の設定項目となりますので必ず設定するようにしていきましょう。
