MFA(Multi-Factor Authentication)を使おう

概要
まず知らなければいけないのは、
AWSマネジメントコンソールに初めてサインインした場合のアカウントは、Linuxでいうrootアカウントということです。
全ての権限を持っており、何でもできてしまいます。
そのため、悪意のある第三者に不正にログインされてしまった場合は、何をされるかわからない。
ということで、MFAという機能を使い、このrootアカウントでのログインには、2要素認証を行うことにします。
デバイスの用意
MFAで2要素認証を行うには、デバイスを使用する必要があり、使用できるデバイスは以下。
- スマートフォン
- Gemalto社が販売している物理デバイス
ここでは、スマートフォンを使用します。
ちなみにスマートフォンでは、アプリをインストールする必要があります。
AWSの設定をする前に、「Google Authenticator」をインストールしておく。
※以下はiPhoneの画面です。
MFAを設定する
AWSにログインし、Serviceをクリック、
Security, Identity & Compliance > IAM
を選択する。
「Security Status」から、
Activate MFA on your root accountをクリックして開き、
[Manage MFA]をクリック。
「A virtual MFA device」にチェックが入っていることを確認して、[Next Step]をクリック
「認証用のアプリケーションを先にスマホにインストールしといてね」と促されるので、 ここまでにはアプリをインストールしておく。 [Next Step]をクリック。
QRコードが画面に出力されるので、スマホのGoogle Authenticatorを開いて、QRコードを読み込む。
※セキュリティの都合上、下の画像は加工してます。
スマホから、Google Authenticatorを開き、「設定を開始」をタップ、「バーコードをスキャン」。
バーコードをスキャンすると、以下のような画面で認証コードが表示されるので、
AWSの、
- Authentication code1
- Authentication code2
にコードを入力する。
このコードは、一定時間が経過するごとに次々と発行されるため、結構慌てて入力する必要があります。
連続して表示された認証コードを入力すれば完了。
ひとつ飛ばしなどで入力した場合は、認証失敗となります。
以下の画面が出れば、認証成功。
ルートアカウントでのログイン
一旦サインアウトし、再度ルートアカウントでログイン画面へ
パスワードを入力し、サインイン。
すると、以下の画面となり、多要素認証が必要となります。
ここで、スマホのGoogle Authenticatorを開き、表示されている認証コードを、 MFAコードに入力して、[送信]をクリック。
ログインができれば、成功。
これでルートアカウントには、仮想デバイスを使用してのログインしかできなくなります。
[amazon_link asins=’4797392576′ template=’custom’ store=’takayuki57101-22′ marketplace=’JP’ link_id=’96a42d09-6f87-11e8-812a-0119c49cd5c2′]