先日ネタでアカウントを吹き飛ばしてみて再設定したので真っさらな状態からしておくべき設定をしてみたいと思います。
AWSアカウントの取り方はこちらを参考にしてください。
Rootアカウントに対するMFA認証の設定
ルートアカウントの MFA デバイスを有効化すると、ルートアカウントの認証情報のみが影響を受けます。アカウントの IAM ユーザーは固有の認証情報を持つ独立した ID であり、各 ID には固有の MFA 設定があります。IAM ユーザーの MFA を有効化する方法については、「ユーザーのための仮想 MFA デバイスの設定と有効化」を参照してください。(公式より)
そもRootアカウントじゃなくてIAMユーザー使えってのがベストプラクティスなのでルートは保護しておきましょう。
iPhoneアプリで使用できるのはこちら
.Google Authenticator
.Authy
iPhoneでと書きましたが、Androidにもちゃんとあります。
さて、今回は Authy を使います。
自分はずっと Google Authenticator を使っていましたが、先日iPhoneを5から6に変えた際、端末を処分したらログインができなくなって困ったためです。
Authyはバックアップ効くって聞いたので今回はこっちで試してみます。
Authyの設定(iPhone側1)
まずはiPhone側の設定です。
アプリをダウンロードしたらiPhone側で設定をします。
使用するのは電話番号とメールアドレス
日本の国番号は+81です
次にバックアップ用のパスワードを設定します。
これがあればiPhone壊しても大丈夫だね!
設定が完了するとQRコードを読み込めって画面が出てくるので一旦待機します。
Authyの設定(AWS側)
マネジメントコンソールからIAMを開きます
MFAを選択
仮想デバイスなので選択されている仮想デバイスのまま次へ
iPhoneの設定は大丈夫なのでこのまま次へ
ここまできたらiPhone側で読み取ります。
Authyの設定(iPhone側2)
読み込みを行うと30秒毎に数字の乱数が出力されます。
この数字を2つ使います
最初の30秒で出力されている乱数をコード1へ
次の30秒で出力される乱数をコード2へ入力します
コードを正しく入力すると上記の表示が出て問題なく関連付けられたことがわかります。
参考
2段階認証はAuthyが便利:クラスメソッドさんのブログより
Rootは使わないお約束の方が良いらしいのでユーザー作ろう
Administrator権限を持つユーザーを作ります。
Administrator としました。
作成したユーザーを選択
ポリシーをアタッチします
Administrator権限を持つユーザーを作成したいので一番上のAdministratorを選択します。
自分で使うだけなのでカスタムで忘れないものを作成し、ログイン時に変更のチェックは外したままにしておきます。
以上の操作でIAMユーザによるログインが可能になります。
作成したユーザでログインしたい場合は専用のURLを使用します。
画面中段にモザイクがかかっている場所があるのですが、そこにURLが書いてあるのでその情報を使ってログインするようにします。
ログイン時にユーザー名とパスワードを聞かれるので先ほど設定した情報を使います。
作成したIAMユーザーに対しMFAを有効にしている場合、ログイン時のチェックボックスにチェックを入れてください。
CloudTrailの設定
これが最後です。
CloudTrailを有効化しておきます。
どうでも良い話ですが、ここでクレジットの1ドル認証が通らずハマりました。
理由はクレジットカードの上限額オーバー・・・みなさん、上限に気をつけましょう。
また、住所情報なんかを日本語で入力すると文字化けしてうまく認証してくれないので合わせて注意が必要です。
では、設定の仕方を見ていきます。
CloudTrail
マネジメントコンソールからCloudTrailを選択
初めての場合この画面が出ます。
何かある場合は作成的なボタンを押せば次に進めます。多分わかります。
S3のバケットを新規で作成しています。
既存のバケットを利用する場合はバケット名を指定してください。
以上でTrailは有効化されました。
続いて、保存されるログの処理のため、S3バケットにライフサイクルを設定します。
S3
上記操作で、保存されたログは1月経過した時点で自動的に削除されます。
まず見ることはないであろうログですが念のために。
最後に
以上、アカウント開設後のセキュリティ設定でしたー
セキュアに使えていいですねw
参考
2段階認証はAuthyが便利:クラスメソッドさんのブログより