AWSアカウントを作成したらMFAを設定しよう

投稿者 投稿日:

個人でAWSアカウントに登録すると、ルートアカウントが取得できるわけですが
このアカウントでは自分のAWS内のすべてのサービスの権限がついた
つまり「なんでもできるアカウント」が作成されます

そのためもしもルートアカウントの情報が盗まれたり、不正アクセスされた場合
そこに作っていたサービスを消したり、勝手にサービスを立ち上げられて
多額な請求がきたりすることも、可能性としてあります

と、ここまで不安を煽ってしまいましたが、そういった自体にならないように
アカウントのセキュリティを強固にしましょう というのが今回の
MFA(Multi-Factor Authentication)になります

MFAとは?

MFAは、Multi-Factor Authenticationの略ですが、日本語では「多要素認証」
と呼ばれています
最近知られてきた二要素認証(2FA)と思えばピンとくるかもしれません

二要素認証(2FA)は、文字通り認証に必要な要素が「2つ」ですが
多要素認証(MFA)は、認証に必要な要素が「2つ または 3つ」です

要素って?

少し横道にそれますが「要素」の種類は大きく3つあります

  • 知識要素
    • その人が知っている情報(IDやパスワード)
  • 所持要素
    • その人が持っているものの情報(SMSやアプリ認証、ICカード・チップ、ワンタイム生成器など)
  • 生体要素
    • その人の生体情報(顔、指紋、網膜など)

例えば、会社から支給されたパソコンでID・パスワードに加えて
ICカードをリーダーにかざしてログインするパターンは2要素認証になります

AWSのMFAを設定する

横道にそれてしまいましたが、ここから実際に設定を行っていきます
ここでは2要素の設定を行います、また2要素目に使うものとして
スマフォにインストールされた認証アプリを使います
SMS認証は公式のアナウンスにもある通りサポート切れのためアプリを利用します)

アプリを用意する

私はGoogle認証システムを利用しています
Microsoftが出しているものや、他にも同様のアプリが色々あるので
好きなものを使ってください
スマフォにアプリをインストールします

Android向け

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja

iOS向け

https://apps.apple.com/jp/app/google-authenticator/id388497605

AWSにルートアカウントでログインして設定する

まずルートアカウントに ID、パスワードでログインします

ログイン後、以下画像の部分「マイセキュリティ認証情報」を押してページ移動します

セキュリティ認証情報のページに移動したら、多要素認証(MFA)をおして
開き、「MFAの有効化」ボタンを押します

MFAデバイスの管理のモーダルが表示されるので、「仮想MFAデバイス」に
チェックされていることを確認して「続行」を押します

仮想MFAデバイスの設定モーダルが表示されるので
「2. 仮想MFAアプリとデバイスのカメラを使用してQRコードをスキャンします」
のところにある「QRコードの表示」を押すとQRコードが表示されます

QRコードが表示されたら、スマフォのアプリ(Google認証システムなど)を
立ち上げ +ボタン > QRコードで読み取る を選択して
画面に表示されたQRコードを読み取ります

すると60秒毎に切り替わる 6桁のコードがつくられるので
画面の「3.連続する2つのMFAコードを以下に入力」のところに
スマフォで表示された6桁のコードを入力します

連続したコードなので、1つ目に表示されたものをMFAコード1に、その次に
表示されたものをMFAコード2に入力します

入力したら、右下の「MFAの割り当て」を押します
これでMFAの設定は完了です

MFA設定を確認する

一度サインアウトして、再度ルートアカウントでログインしてみましょう
メールアドレス、パスワードを入力したあと、MFAコードの入力画面が
表示されていれば設定OKです!

まとめ

AWSのMFA設定方法を紹介しました

個人で簡単にアカウント登録できてしまうため、セキュリティの責任も
自分で確保する必要がでてきます
二要素認証、多要素認証は必須と思っておくくらいのほうがよいと思います

No related posts.