この時期、リモートワークの手段として、Aamzon Workspaces や AWS Client VPN を試そうとしてる方もいるんじゃないかと思います。
どちらも、多要素認証(MFA)が可能なので少しだけ書いておきます。
Workspaces の MFA について
公式の対応記事
Multi-Factor Authentication for Amazon WorkSpaces
https://aws.amazon.com/jp/blogs/aws/multi-factor-auth-for-workspaces/
具体的な方法
多要素認証による Amazon WorkSpaces の利用
https://www.slideshare.net/AmazonWebServicesJapan/amazon-workspaces-86568155
以前、こちらの記事でAWS Single Sign-On を 多要素認証(MFA) に対応させる方法を書きましたが、多要素認証に対応させる部分は流用できます。方法はほぼ同じで、こちらはAD Connector を使っています。
どちらも、別途RADIUSサーバーを用意してMFAを実現しています。
簡単な流れは次のようになります。
- 多要素認証用のRADIUSサーバーを用意する
- AWS Managed Microsoft AD の多要素認証を有効にするか、AD Connector の多要素認証を有効にして、RADIUSサーバを設定に追加する
- Workspaces で利用するディレクトリとして、多要素認証を有効にしたディレクトリを指定すると
MFAに対応させると、ログイン時にMFAコードを求められるようになります。
Client VPN の MFA について
公式の対応記事
AWS Client VPN が Active Directory 用の多要素認証をサポート
https://aws.amazon.com/jp/about-aws/whats-new/2019/09/aws-client-vpn-now-supports-multi-factor-authentication-for-active-directory/
具体的な方法
Workspaces と同じ手順でAWS Managed Microsoft AD の多要素認証を有効にするか、AD Connector の多要素認証を有効にすればOKです。
AWSが提供しているClient VPN接続ツールを使うと、このような感じで接続時にMFAコードを求められるようになります。