少し前の話で。
AWSはMulti-Factor Authenticationに対応していて、マネジメントコンソールにログインする際にユーザー名とパスワードの他にMFAデバイスからの認証コードの要求を設定することができる。
認証コードはMFAデバイス上で一分間に一回更新される。
仮想MFAデバイスとハードウェアMFAデバイスの2種類があり、公式サイト上ではハードウェアMFAデバイスの方がセキュリティに最良とされている。
なので、とあるサービスのインフラを構築する際にハードウェアMFAデバイスを購入し、ルートアカウント用に使うことにした。
購入したのはこれで、Amazonで注文するとすぐに送られてくる。
開封して最初に、「結構安っぽいなー」と思った。
3ヶ月くらい使った頃に、errと表示されて壊れた。
ネットで色々調べると、ネットゲームでよく用いられており、割とすぐ壊れるという情報が転がっていたので残念な気持ちになった。
(Amazonのレビューも結構荒れている)
気を取り直し、公式の問い合わせ窓口から問い合わせてみたところ、少しして電話がかかってきた。
なんとシアトルからで、緊張しながら電話に出ると案の定英語だった。
頑張ってみるものの上手くコミュニケーションできず、メールを送ってくれとお願いして電話を切った。
しかしなかなかメールが来ないので、日本のサポート窓口に連絡した。
すると、すぐに連絡があり解除手続きをすることができた。
ハードウェアMFAデバイスのほうがセキュアだとあったけど、壊れるとかなり困る。
(この時は、たまたまルート権限が必要な作業がなかったから良かった。)
仮想MFAデバイスはスマホのアプリ(google authenticatorなど)なので壊れる可能性は低いと思われるが、過去google authenticatorはアプリアップデートしたらトークン設定が吹っ飛ぶということもやらかしているのでそういうリスクもある。
MFAデバイス導入するのであれば、IAMをうまく使い複数アカウントでリスク分散をしておくべきだと思いました。
あと、英会話力大事。