4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

yubico ではじめる物理 MFA 生活

Last updated at Posted at 2022-12-24

こんにちは。
この記事は、株式会社日立システムズ Advent Calendar 2022 の25日目の記事です。

今回は、ひょんなことから手に入れた yubico の Security Key by NFC を用いて IAM ユーザーに対して 物理 MFA を設定する方法についてお伝えします。

image.png

現在の設定

今回、yubico の物理 MFA を適用するIAM ユーザーには、既存の設定としてTwillio Authy を使用して仮想 MFA を設定しています。

この Authy は、マルチデバイスで OTP を表示できるので Apple Watch で確認したり iPhone で確認したりと便利に使えてはいます。

で、どうしたいのか

既存の設定に加えて、物理 MFA を追加したい。
これは、2022年11月16日のアップデートで追加になった「AWS Identity and Access Management で複数の多要素認証 (MFA) デバイスのサポートを開始」も併せて確認してみたいというところに端を発しております。

さあ、やってみよう

  1. まずは、AWS マネージメントコンソールにログインします。

  2. 次に、IAM の画面を呼び出します。

  3. 物理 MFA を追加したいユーザーを探し出し、「認証情報」タブを選択します
    image.png

  4. 少し下に移動し、多要素認証(MFA)と記載のあるエリアを表示し、「MFA デバイスの割り当て」ボタンをクリックします。
    image.png

  5. MFA デバイスの管理ウィンドウが開くので、名前を適宜入力し、「Security Key」を選択します。そして、「続行」ボタンをクリックします。
    image.png

  6. Set up security keyウィンドウが開くとともに、操作している Web ブラウザ(厳密にはWindowsであれば Windows セキュリティ)からセキュリティ キーのセットアップがポップアップされます。
    image.png
    image.png

  7. ポップアップの「OK」ボタンを押下し、セットアップの続行が表示されるので「OK」ボタンを押下します。
    image.png

  8. 「セキュリティ キーを USB ポートに挿入します。」と、表示されるのでキーを挿入します。
    image.png

  9. 「このセキュリティ キーの暗証番号(PIN)を作成する必要があります。」と、表示されるので任意の値を2つのフィールドに等しく入力して、「OK」ボタンを押下します。
    image.png

  10. 「セキュリティ キーにタッチしてください」と、表示されるので、キーの光っているところをタッチします。
    image.png
    image.png

  11. 「Setup is complete for this security key」と、表示されるので「閉じる」ボタンを押下して閉じます。
    image.png

  12. 設定した物理 MFA キーが登録されていることを確認します。これで、無事に設定が完了しました。また、MFA デバイスを複数登録することにも成功しました。
    image.png

動作確認してみよう

設定が完了したので、次は、実際に物理 MFA デバイス(セキュリティキー)を用いてログインしてみます。

  1. 一旦、マネージメントコンソールからサインアウトし、改めてサインインします。
    すると、今までの表示とは異なり「追加の検証が必要です」と表示されるとともに、どのタイプの MFA デバイスで検証するのかを指定するようになりました。
    image.png

  2. セキュリティキーを選択して、「次へ」ボタンを押下します。
    image.png
    すると、上図に合わせて、下図のようにWindowsセキュリティのポップアップから「本人確認をしています」と表示されます。
    image.png

  3. 上図の状態になったらキーを接続し、光っている部分にタッチします。
    image.png

  4. タッチすることで無事にログインが成功しました。
    image.png

おまけ

セキュリティキーで AWS CLI の MFA 認証が通るか確認しましたが、こちらは非サポートです。
セキュリティキーを用いた MFA 認証はマネージメントコンソールでのみサポートされます。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/authenticate-mfa-cli/

セキュリティキーのサポートは、AWS マネジメントコンソールでのみ利用できます。詳細については、「FIDO セキュリティキーの有効化 (コンソール)」を参照してください。

まとめ

物理 MFA デバイスを使うことで、運用部屋やデータセンター内といったスマートフォンの持ち込みが認められないような場所であっても、MFA 認証を利用できるようになります。一度設定してしまえば、必要な時に USB ポートに差し込んでタッチするだけで利用可能になり、ワンタイムパスワードを入力する手間も省けます。
また、複数の MFA デバイスができるようになったことで、例えば仮想 MFA デバイスの iPhone のバッテリーが枯渇していた際にもスムーズにログインできるようになります。ほかにも、iPhone の機種変などにより MFA 設定を移行できずアクセス不可になりかけた際にもサポートに連絡せずに復旧できるようになります。

記載されている会社名、製品名、サービス名、ロゴ等は各社の商標または登録商標です。

4
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?