AWS上でサービスを提供するユーザーであれば、多要素認証として、Multi-Factor Authentication(MFA)機能は必須と言えます。
ここではMFAデバイスの特徴とそれらの紛失時の対応方法をまとめてみました。MFAの設定方法については以下のURLを参考にお願いします。
http://qiita.com/hayashier/items/ff0f2a62acd28ea1d0f4
#MFAデバイス 比較
MFAデバイスには現在、大きく以下の3種類があります。
- ハードウェアMFAデバイス
- 仮想MFAデバイス
- SMS MFAデバイス(preview)
##ハードウェアMFAデバイス
Gemalto社が販売している以下のものがある。
###キーホルダータイプ
多くの金融サービスなどで使用するデバイスと同じタイプの形状。
###ディスプレイカード
現在は購入できない。
特徴はキーホルダータイプと同じだが、財布に収まる形状。
##仮想MFAデバイス
###Google Authenticator
複数デバイス登録できる。
###Authy
機器交換時に認証情報が引き継げる。
###Authenticator
Windows Phone向け。
###OS別対応表
| Google Authenticator | Authy | Autheticator | |
|---|---|---|---|
| Android | ○ | ○ | |
| iOS | ○ | ○ | |
| Windows Phone | ○ | ○ | |
| Blackberry | ○ | ||
| Others | Mac,Linux |
###その他
AuthyにはChrome用のプラグインが提供されており、スマホがなくてもPC上から認証のためのコードを確認できて便利。
https://chrome.google.com/webstore/detail/authy-chrome-extension/fhgenkpocbhhddlgkjnfghpjanffonno?hl=ja
##SMS MFAデバイス
SMSによるMFAは現在プレビュープログラムとしてのみ使用できる。
そのため、プレビュープログラムにサインアップする必要がある。
###プレビュー版手続き方法
下記のURLにアクセスし、[プレビューにサインアップ]を選択。
https://aws.amazon.com/jp/iam/details/mfa/
以下の内容を入力。
First Name
Last Name
Company Name
Email Address
Country
State
Postal Code
Industry
AWS Account Number
AWS Account Numberの確認方法としては、例えば、マネジメントコンソール右上の
[User Name]@[Account]となっているAccountに相当するものであり、こちらをクリックすると、4桁区切りの計12桁のアカウント番号が確認できる。こちらからハイフンを除いたものを入力する。
Would you like to be contacted for feedback regarding this feature?
SMSによるMFAの機能のフィードバックに協力するのであればこちらにチェックを入れる。
[Submit]を選択
申請してから機能が有効になるまで1~2営業日程度かかる。
#紛失時の対応方法
##ハードウェアMFAデバイス
購入したプロバイダーに連絡を取って、修理または交換
交換時のために予備を準備するなどの対応。
##仮想MFAデバイス
###ルートアカウント
以下のURLにアクセスし、AWSにデバイスを紛失した旨の問い合わせする。
https://aws.amazon.com/forms/aws-mfa-support
Problem with Authentication Device*
Primary phone number*
Secondary phone number
Country associated with your phone number*
*は必須項目。
Problem with Authentication DeviceはMy device was lost, stolen or damaged
Primary Phone Numberは日本の場合は+818012345678のように、08012345678であれば、先頭の0を除いて+81をつければ良いようです。
しばらくすると、電話がかかってくる。連絡は英語ですが、日本語対応希望の場合は、英語でその旨を伝えれば、日本時間の平日9:00-18:00に日本の担当者から連絡がくるようです。
###IAMユーザー
ルートアカウントユーザーに以下の処理を依頼する。
1.マネジメントコンソール右上の[User Name]@[Account]をクリックし、[認証情報]を選択。
2.[ユーザー]を選択し、対象のユーザーを選択。
3.[認証情報]タブをクリックし、サインイン認証情報中のMulti-Factor Authenticationデバイス項目の[MFAデバイスの管理]を選択し、MFAデイバスの無効化を選択する。
#参考
Multi-Factor Authencation
https://aws.amazon.com/jp/iam/details/mfa/
AWS Black Belt Techシリーズ AWS IAM
http://www.slideshare.net/AmazonWebServicesJapan/20150617-aws-blackbeltiam
AUTHY
https://www.authy.com
Google Authenticator project
https://github.com/google/google-authenticator/wiki
Authenticator
https://www.microsoft.com/ja-jp/store/p/authenticator/9wzdncrfj3rj
2段階認証はAuthyが便利
http://dev.classmethod.jp/cloud/aws/authy/
MFA デバイスの紛失および故障時の対応
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_lost-or-broken.html
AWSの仮想MFAデバイス紛失時にとるべき行動
http://blog.yuukigoodman.net/entry/2014/10/26/195746