AWSのMFA(多要素認証)の設定方法について

はじめに

私が働いている会社は別にクラウドを使って何かをする会社ではありませんでした。それがIoTとか仕事の幅を広げていくうえでAWSやGCPってやっぱり当然のように知っておかないとダメだよね…という話からまずはAWSプラクティショナーと呼ばれるAWSの認定資格を取得するところから始めましょう、ということになりました。

少し前にAWSが何かもよくわからない状態で、人の記事を見ながら見様見真似でAWS IoTを触っていたらいつの間にか課金が発生していたことがあり(自分のせいですが)、これからはGCPを勉強するぞ!と息巻いていたのですが、どうも今後自分が触るシステムはAWSもGCPも使っているシステムだったようなので、まずはAWSについて調べて記事を書いていこうと思います。

AWSにしても、GCPにしても正しくインターネット検索が出来る人にはそれほど使い方も難しくないかもしれません。ですが、正直私には難しかった。

なので本ブログではAWSの使い方について順次記載をしていく予定です。本記事ではアカウントを作成後、最初に実施すべきAWSの権限を持つルートユーザーのMFA(多要素認証)の設定を行う方法を説明します。

ルートユーザーとは

ルートユーザーとはおそらく皆さん、ご存知の通り、アカウント作成時に自動的に作成されるユーザーアカウントです。ただしこのアカウントではAWSにリソースに関するすべてのアクセス権が設定されているために、非常に大切に管理すべきアカウントとなります。

MFAとは

Multi-Factor Authenticationの略で、多要素認証の意味があります。

ん?どういうこと?というあなたと私のために説明をしておくと、これを有効にすることで、ルートユーザーにログインする際に、ユーザー名とパスワードだけではなく、その他のデバイスから発行される一時的なパスワードを使わない限り、ログイン出来なくなる仕組みのことを言います。

この記事では、自分が普段使っている携帯電話をMFAに使用するデバイスとして、設定し、ルートユーザーにログインするときにユーザー名、パスワードに加えて携帯電話から発行されるパスワードを利用する設定について説明します。

事前準備

MFA用のパスワードを発行するデバイスが必要です。携帯電話であれば、Google Authenticatorという名前のアプリが簡単でオススメです。こちらをインストールしておいてください。

MFA認証の設定方法

AWSのサービスの中からIAMを選択してください。

AWSのアカウントでAWSマネージメントコンソールにログインした際、画面の上部にあるサービスをクリックするとAWSで提供されているサービスが大量に表示されます。その中から セキュリティ、ID、およびコンプライアンス のメニュー内にIAMはあります。

ここでIAMのダッシュボード画面が表示されるかとおもいます。そこに表示されている内容を確認していくと、以下のようなセキュリティアラートが表示されているかと思います。

ここのMFAを有効ををクリックしてください。

もしこのセキュリティアラートが表示されていない場合には、AWSのマネージメントコンソールの右上のアカウントを名をクリックし、表示されるマイセキュリティ資格情報をクリックして下さい。同じ画面に遷移できるかと思います。

以下の画面に遷移しますので、MFAの有効化をクリックして下さい。

今回自分の持っている携帯電話でMFAの認証を行いますので、仮想MFAデバイスを選択してください。

選択すると以下のような画面が表示されますので、QRコードの表示をクリックし、表示されたQRコードをGoogle Authenticatorのアプリで読み取ってください。

QRコードを読み取ると、Google Authenticatorでは以下のように表示されるかと思います。

Google Authenticatorで表示される数字は一定時間で切り替わりますので、以下のようにAWSの画面支持に従って6桁、2つの数字を入力し、最後にMFAの割り当てボタンをクリックして下さい。

これでルートユーザーのMFAの設定は完了となります。

一度、サインアウトして再度サインインしようとするとユーザー名とパスワードに加え、MFA認証デバイス(今回は携帯電話のこと)のパスワードを求められるようになったかと思います。

是非、お試しください!

最後に

無事、設定はできましたでしょうか?

もしわからないことがありましたらお気軽にお問合せ下さい。

次回はIAMユーザーについて書こうと思います。