実施環境
Microsoft Edge 124.0.2478.67 (64bit)
iOS 16.7.7
Google Authenticator バージョン 4.1.1
0. 概要
前回、 IAM でユーザーを作成しました。
通常、ユーザーのサインインにはパスワードを使用しますが、認証に使用するのがパスワードだけだと、パスワードが漏洩した場合に不正なサインインを許すこととなります。
セキュリティをより強固なものとするために、 AWS では MFA を利用することができます。
今回は、作成したユーザーについて、認証アプリを用いた MFA を適用してみます。
利用できる認証アプリは以下の Web サイトを参照してください。
今回は認証アプリとして、 Google Authenticator を使用します。
なお、最新の操作方法は以下の AWS 公式ドキュメントを参照してください。
1. MFA とは
多要素認証( Multi-Factor Authentication , MFA )とは、複数の認証方法を組み合わせて認証を行うことで安全性を高める手法です。
ただし、同じ種類の認証方法を組み合わせても MFA にはなりません。
異なる種類の認証方法を組み合わせる必要があります。
認証方法の種類には以下の 3 種類があります。
- 知識情報:パスワードや秘密の質問など、必要な情報を知っているかを問うもの
- 所持情報:乱数表や IC カードなど、必要な物体を持っているかを問うもの
- 生体情報:指紋や虹彩など、身体的特徴を利用したもの
例えば「パスワード」は知識情報、「 IC カード」は所持情報なので、この 2 つを組み合わせた場合は MFA となります。
一方、「パスワード」と「秘密の質問」の組み合わせだと、両方とも知識情報なので MFA ではありません。
認証方法の種類が同じかどうかを問わずに複数の認証方法を組み合わせる場合は、「二段階認証」などと呼ばれます。
今回設定する MFA は、「パスワード」 = 知識情報と「認証アプリによるワンタイムパスワード」 = 所持情報による MFA となります。
2. MFA の設定
まずは、ユーザ一覧で MFA を設定したいユーザーをクリックします。
「セキュリティ認証情報」タブをクリックします。
下にスクロールしていくと MFA の欄がありますので、「 MFA デバイスの割り当て」をクリックします。
もちろん、ルートユーザーにも MFA は設定できます。
右上のアカウント名をクリックして「セキュリティ認証情報」をクリックし、下にスクロールして「 MFA デバイスの割り当て」をクリックすることで設定できます。
ルートユーザーは非常に強力な権限を持つため、 AWS ではルートユーザーに MFA を設定することが推奨されています。
適当な MFA デバイス名を設定します。
今回は認証アプリを使用するので、「 MFA device 」は「 Authenticator app 」にチェックを入れます。
「次へ」をクリックします。
「 QR コードを表示」をクリックして QR コードを表示します。
この QR コードを読み込むことで認証アプリの方に AWS を登録することができます。
使用するアプリによって操作は異なりますが、今回使用する Google Authenticator の場合は画面右下の「 + 」⇒「 QR コードをスキャン」をクリックして QR コードを読み込みます。
認証アプリの方に AWS が登録できたら、次は AWS の方に認証アプリを登録しましょう。
まずは認証アプリに表示されている 6 桁の数字を「 MFA コード 1 」に入力します。
入力したら少し待ち、次に認証アプリに表示された 6 桁の数字を「 MFA コード 2 」に入力して「 MFA を追加」をクリックします。
正常に登録できたら、以下のようなメッセージが表示されます。
MFA の欄に先ほど登録した MFA デバイスが表示されているはずです。
3. MFA の利用
実際に MFA を使用してみましょう。
MFA を登録した IAM ユーザーのユーザー名とパスワードを入力し、「サインイン」をクリックします。
すると、以下のように MFA 認証画面が表示されるので、認証アプリに表示されている 6 桁の数字を入力して「送信」をクリックするとサインインできます。
