「IAM のベストプラクティス」では特権ユーザーに対して、MFA を有効化するという記述があります。
AWSアカウント(ルート)の代わりになるIAM特権ユーザの作成手順(その1)と
AWSアカウント(ルート)の代わりになるIAM特権ユーザの作成手順(その2)で作成したIAM特権ユーザの多要素認証(MFA)を有効にします。
1.まず、IAM特権ユーザのアカウントでサインインします。
2.IAMサービスをクリックします。
3.IAMサービス画面で、左側の「ユーザ」メニューを選び、右側のユーザ一覧からIAM特権ユーザをクリックします。
4.ユーザ情報画面の「サインイン認証情報」までスクロールし、「MFAデバイスの管理」ボタンをクリックします。
5.今回Google Authenticatorを使用するので、「仮想MFAデバイス」を選び、「次のステップ」ボタンをクリックします。
6.「進む前にMFAアプリをインストールしてください」という旨のメッセージが表示され、まだインストールしていない場合は、ここでスマートフォンにGoogle Authenticatorをインストールしましょう。
7.次に進むと、ORコードが表示されます。スマートフォンでGoogle Authenticatorを起動して、ORコードをスキャンします。Google Authenticatorで表示された6桁の数字を「認証コード1」に入力し、30秒後数字が変わったら「認証コード2」に入力します。2つ入力すれば「仮想MFAのアクティブ化」ボタンをクリックし確定します。
8.iPhoneの画面は下記のようになります。数字のしたに、ORコードに含まれている「IAMユーザ名@アカウント別名」が表示されているので、識別のために使えます。
9.サインアウトしてもう一回IAMユーザでサインインすると、エラーが発生します。MFAはもう有効になっています。
10.「MFAトークンを持っています」をチェックし、「MFAコード」にスマートフォンのGoogle Authenticatorで表示されている6桁の数字を入力します。30秒で無効になるので、早めにサインインボタンをクリックしてください。
11.成功した場合は、管理画面が表示されます。
これで、多要素認証の有効化したIAM特権ユーザで普段のAWSの管理業務を行うことが可能となりました。
「IAM のベストプラクティス」ではAWSアカウントのMFAも有効にすると書いています。しかし、MFAデバイスの紛失及び故障時AWSにMFAの無効化を依頼する必要があるので、今回省略しました。IAMユーザのMFAの無効化はAWSアカウントでサインインした後、ステップ4と同じ操作方法で自らすぐにできるので、手間がかかりません。