AWS ConsoleにやっとU2Fが来たぞー!さぁセットアップだ!とぬか喜びしているシステム管理者の戯言です。
IAMユーザやRootアカウントにYubikeyをセットアップしてみました。
多分YubikeyなどのU2F対応デバイスに詳しい人は早速試してるんじゃなかろうかと思うので、後追いになりますが、同様の記事となりますので、既に知ってるよ!って方は読み飛ばしていただければと思います。
どうなったか
セットアップは超簡単でUSBにYubikeyを差し込み金属部分をタップするだけで終わります。
ぼく「よーし、別の人もセットアップできるかな?」(ポチ
あqwsでfrgthy樹医kぉp;@:「
あのーAWSさん?
何が問題なのか
複数登録する機能(アプリ、ハード、U2Fの複数登録機能)ぐらい実装しようぜ!
デバイス無くしたらどうすんじゃいって話があるのでマジイケてない。
さっさと改善しろください。
電話問い合わせしたら解除してくれるのかもしれませんが、不都合な部分があるんですよね
というのも弊社ってぼく一人がシステム管理してるわけじゃないんですよ。
なので管理者の人数分のU2F対応デバイスを購入しています。(お試し部分も含め)
1つのIAMユーザ(恐らくRootアカウントも含め)につき、1つのU2Fってなると結局遠隔地にいるメンバがログインする際はハードのMFA使って番号伝える方式になるやーんって感じです。
ほとんどRootアカウントでログインすることがないとはいえ、必要になるケースがないわけじゃないんですよね。
例えばプラン変更とか一部の制限解除依頼とか。
とりあえずせっかくなのでセットアップ方法を以下に記載します。
セットアップ方法
セットアップのおおまかな流れを記載します。
- IAMユーザの画面を開きます。
- U2Fを設定したい人のアカウントを開きます。
- 認証情報タブをおもむろにクリックします。
- 既にMFAを設定している場合は削除します。
- USBにU2Fデバイスを差し込んでおきます。
- U2Fセキュリティキーを選択し続行ボタンを押します。
- セットアップ画面が出るので金属部分をタップします
- 画面が切り替わり閉じるボタンを押せば終了
まあもともと1つしか認証しない設定なんだからそうなるよね
でも、複数登録させろください。マジでお願いします。
(っていう要望を今度出してみることにしますー)
あ、ちなみに最近FirefoxもU2Fに対応してますのでChromeしか使えないよってサービスは少なくなっています。
ex. Google(G Suite含む)はChromeでなければ登録できない仕様。
ただ一度認証さえしてしまえば、ChromeじゃなくてもFirefoxでも認証してくれます。
ただしMac標準のメールアプリからGoogle(G Suite含む)を追加しようとした際は、Mac標準のアカウント設定がU2Fに対応してないため別の認証方式を利用することになります。
もっと世間にU2F対応デバイスが広まーれ!
゚゚・+。
| ゚*。
。∩∧∧ *
+ (・ω・`) +゚
。ヽ つ゚
゙・+。*・゚⊃ +゚
☆ ∪ 。゚
゙・+。・゚
むしろ、どの案件でもWebサービスをローンチする際に、U2F対応のサービスにすると大喜びだと思いますよ。