AWSマネジメントコンソールのIAMユーザのログインに、MFAとしてMacのTouchIDを利用するための設定メモです。
AWS Single Sign-On (SSO)を利用して、上記を実現します。
- マネジメントコンソールへのログイン後、AWS SSO操作権限のあるロールにて、[AWS SSO]のページに移動
- SSOログインに利用するユーザを作成する為、[ユーザー]タブから[ユーザーを追加]を押下
- SSOログインに利用するユーザが作成されたことを確認
- MFAの設定を行う為、[設定]タブから、[多要素認証]の[設定]を押下
- [セキュリティキーと組み込みオーセンティケーター] のチェックが付いていることを確認
- [サインイン時にMFAデバイスを登録するよう要求する]が選択されていることを確認
- [AWSアカウント]タブから、今回作成作成したSSO用ユーザでのログインを許可するAWSアカウントを選択する
- 先ほど作成したSSOユーザをAWSアカウントに割り当てる
- SSOユーザに割り当てるアクセス権限を選択もしくは作成する(今回は管理者権限でのアクセスを許可)
- 作成したSSOユーザのパスワードを設定する為、[ユーザー]タブから対象ユーザの[パスワードのリセット]を押下
- 設定したE-mailアドレスにパスワードリセット用のメールが届くのでリンクを押下
- 新規に設定したいパスワードを入力する
- [AWS SSO]の[設定]ページの[ユーザーポータル]欄に、ログインに利用するURLが表示される
- この[ユーザーポータルURL]がログインURLとなる為、押下する
- 先ほど設定したSSOログインユーザのパスワードを入力
- MFAデバイスの登録画面にて、[組み込みの認証アプリ]を選択
- MacBookのTouchIDの利用をsingin.awsに許可する為の認証画面が表示されるのでパスワードもしくはTouchIDにて認証
- [AWS Account]から対象のアカウントをクリックし、[Management console]からログイン
同一ユーザで複数アカウント(OUに所属済みのアカウント)へのログインを許可する設定
- [SSO]ダッシュボードの[AWSアカウント]を選択
- [ユーザの割り当て]からSSOに利用するユーザを選択する
- 今回は先ほど作成したSSO用のユーザ(sso_user)を選択する
- SSOログインのユーザに割り当てる権限を設定する(今回は管理者アクセス権限を付与)
- ダッシュボードの[ユーザーポータルのURL]に表示されているURLがログインURLとなる為そのリンクからアクセス
- SSOのトップページから、ログインしたいアカウントを選択し、[Management console]を押下
