AWS ルートユーザーの MFA(多要素認証)を Google Authenticator で設定する手順
AWS アカウントを作成したら最初に行うべき設定がルートユーザーの MFA(多要素認証)の有効化です。ルートユーザーはすべての AWS リソースへのアクセス権を持つため、パスワードだけでなく追加の認証デバイスで保護する必要があります。本記事では Google Authenticator を使った MFA 設定の手順を解説します。
ルートユーザーと MFA の基本
ルートユーザーとはアカウント作成時に自動生成されるユーザーで、AWS リソースに関するすべてのアクセス権を持ちます。漏洩した場合のリスクが非常に高いため、MFA による保護が必須です。
MFA(Multi-Factor Authentication)を有効にすると、ログイン時にユーザー名・パスワードに加えて、登録したデバイスが発行する一時パスワードの入力が必要になります。
事前準備:Google Authenticator のインストール
スマートフォンに Google Authenticator をインストールしておきます。App Store または Google Play から無料で入手できます。
AWS コンソールでの MFA 設定手順
AWS マネジメントコンソールにログインし、「サービス」→「セキュリティ、ID、およびコンプライアンス」から IAM を選択します。
IAM ダッシュボードにセキュリティアラートが表示されているので「MFA を有効化」をクリックします。表示されない場合はコンソール右上のアカウント名→「マイセキュリティ資格情報」からアクセスできます。
「MFA の有効化」ボタンをクリックします。
MFA デバイスの種類として「仮想 MFA デバイス」を選択します。
「QR コードの表示」をクリックし、表示された QR コードを Google Authenticator で読み取ります。
読み取りが成功すると Google Authenticator に6桁のコードが表示されます。
コードは一定時間で切り替わります。AWS の画面の指示に従い、6桁のコードを2回(時間をおいて)入力し、「MFA の割り当て」をクリックします。
以上でルートユーザーの MFA 設定が完了です。サインアウトして再度ログインすると、ユーザー名・パスワードに加えて MFA デバイスのコードが要求されるようになります。