LoginSignup
16

More than 5 years have passed since last update.

AWSユーザー必須機能。MFAのデバイス特徴比較と紛失時の対応方法のまとめ

Last updated at Posted at 2016-08-23

AWS上でサービスを提供するユーザーであれば、多要素認証として、Multi-Factor Authentication(MFA)機能は必須と言えます。

ここではMFAデバイスの特徴とそれらの紛失時の対応方法をまとめてみました。MFAの設定方法については以下のURLを参考にお願いします。
http://qiita.com/hayashier/items/ff0f2a62acd28ea1d0f4

MFAデバイス 比較

MFAデバイスには現在、大きく以下の3種類があります。

  • ハードウェアMFAデバイス
  • 仮想MFAデバイス
  • SMS MFAデバイス(preview)

ハードウェアMFAデバイス

Gemalto社が販売している以下のものがある。

キーホルダータイプ

多くの金融サービスなどで使用するデバイスと同じタイプの形状。

ディスプレイカード

現在は購入できない。
特徴はキーホルダータイプと同じだが、財布に収まる形状。

仮想MFAデバイス

Google Authenticator

複数デバイス登録できる。

Authy

機器交換時に認証情報が引き継げる。

Authenticator

Windows Phone向け。

OS別対応表

Google Authenticator Authy Autheticator
Android
iOS
Windows Phone
Blackberry
Others Mac,Linux

その他

AuthyにはChrome用のプラグインが提供されており、スマホがなくてもPC上から認証のためのコードを確認できて便利。
https://chrome.google.com/webstore/detail/authy-chrome-extension/fhgenkpocbhhddlgkjnfghpjanffonno?hl=ja

SMS MFAデバイス

SMSによるMFAは現在プレビュープログラムとしてのみ使用できる。

そのため、プレビュープログラムにサインアップする必要がある。

プレビュー版手続き方法

下記のURLにアクセスし、[プレビューにサインアップ]を選択。
https://aws.amazon.com/jp/iam/details/mfa/

以下の内容を入力。

First Name
Last Name
Company Name
Email Address
Country
State
Postal Code
Industry
AWS Account Number

AWS Account Numberの確認方法としては、例えば、マネジメントコンソール右上の
[User Name]@[Account]となっているAccountに相当するものであり、こちらをクリックすると、4桁区切りの計12桁のアカウント番号が確認できる。こちらからハイフンを除いたものを入力する。

Would you like to be contacted for feedback regarding this feature?

SMSによるMFAの機能のフィードバックに協力するのであればこちらにチェックを入れる。

[Submit]を選択

申請してから機能が有効になるまで1~2営業日程度かかる。

紛失時の対応方法

ハードウェアMFAデバイス

購入したプロバイダーに連絡を取って、修理または交換
交換時のために予備を準備するなどの対応。

仮想MFAデバイス

ルートアカウント

以下のURLにアクセスし、AWSにデバイスを紛失した旨の問い合わせする。
https://aws.amazon.com/forms/aws-mfa-support

Problem with Authentication Device*
Primary phone number*
Secondary phone number
Country associated with your phone number*

*は必須項目。
Problem with Authentication DeviceはMy device was lost, stolen or damaged
Primary Phone Numberは日本の場合は+818012345678のように、08012345678であれば、先頭の0を除いて+81をつければ良いようです。

しばらくすると、電話がかかってくる。連絡は英語ですが、日本語対応希望の場合は、英語でその旨を伝えれば、日本時間の平日9:00-18:00に日本の担当者から連絡がくるようです。

IAMユーザー

ルートアカウントユーザーに以下の処理を依頼する。
1.マネジメントコンソール右上の[User Name]@[Account]をクリックし、[認証情報]を選択。
2.[ユーザー]を選択し、対象のユーザーを選択。
3.[認証情報]タブをクリックし、サインイン認証情報中のMulti-Factor Authenticationデバイス項目の[MFAデバイスの管理]を選択し、MFAデイバスの無効化を選択する。

参考

Multi-Factor Authencation
https://aws.amazon.com/jp/iam/details/mfa/
AWS Black Belt Techシリーズ AWS IAM
http://www.slideshare.net/AmazonWebServicesJapan/20150617-aws-blackbeltiam
AUTHY
https://www.authy.com
Google Authenticator project
https://github.com/google/google-authenticator/wiki
Authenticator
https://www.microsoft.com/ja-jp/store/p/authenticator/9wzdncrfj3rj
2段階認証はAuthyが便利
http://dev.classmethod.jp/cloud/aws/authy/
MFA デバイスの紛失および故障時の対応
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_lost-or-broken.html
AWSの仮想MFAデバイス紛失時にとるべき行動
http://blog.yuukigoodman.net/entry/2014/10/26/195746

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
16