はじめに
これは KWC Advent Calendar 2022 の記事です。
KWC でバックエンドエンジニアをしている @kwc_takemori です。
皆さんはお仕事で利用するアカウントをどのように管理していますか?
私は普段 KeePassXC を利用させてもらっています。
これがとても便利なので、AWS アカウントを題材に、導入手順と簡単な使い方を紹介させていただこうと思います。
1Password や Bitwarden などのパスワード管理サービスを社内で公的に利用できず、色々悩みつつ結局ローカルのテキストファイルで手動アカウント管理になっているというような方々にとって一つの参考になれば幸いです。
個人的な選定理由
当初はメモ帳管理を止めたいぐらいのものだったのでさほど深い理由はありません。
- 無料
- MacOS と Windows 両方をサポートしている
- 弊社は貸与 PC として Mac と Windows どちらにするか選べるので、両方サポートされているほうが周りに勧めやすい
- ローカルにデータを保持している
- 機密データの在処がローカルというだけで色々な説明が通りやすい
- ブラウザに対する自動入力が可能
- とても便利
KeePassXC の起源である KeePass でも上記は満たせますが、KeePass はサポート OS のメインが Windows で他 OS は非公式での対応かつ最新からは少し遅れているようだったので、バージョン周りで気を揉む要素が少なそうな KeePassXC にしました。
公式ドキュメント
公式のドキュメントが画像付きでとても親切なので、各機能の詳細が気になる方はご参照ください。(本稿でも引用させていただいています)
動作確認環境
- MacOS 13.0.1
- KeePassXC 2.7.4
- Google Chrome 108.0.5359.98(Official Build) (x86_64)
- KeePassXC-Browser 1.8.3.1
KeePassXC のインストール
公式 Getting Started Guide のインストール手順に基づいてインストールを行います。
もう解決しているみたいですが「Microsoft Store」で KeePassXC の偽物が公開されていたりもしたようなので、できる限り公式ドキュメントに則り、公式の配布元からダウンロードしたインストーラでインストールすることをお勧めします。
データベースの作成
KeePassXC では .kdbx 形式のファイルに、管理対象として登録したアカウント情報が保管されます。
初回はデータベースファイルの作成からスタートです。
KeePassXC を起動し、「新しいデータベースを作成する」をクリックします。
データベース名を入力し、「続き」をクリックします。
全てデフォルトのままで「続き」をクリックします。
データベースを開くためのマスターパスワードを設定します。
パスワードとなる文字列を設定と確認のために二度入力し、「終了」をクリックします。
別ウインドウでデータベースファイルの保存場所指定画面が表示されるので、ファイル名を入力し、保存場所を指定して「Save」をクリックします。保存場所は KeePassXC がファイルを読み書きできる場所なら任意です。
参考までに私は ~/.keepassxc/ ディレクトリを作成して、その直下に配置しています。
データベースの開き方
よく利用する手順なので先に紹介しておきます。
デフォルト設定だと直近で開いたデータベースファイルを記憶しており、KeePassXC を起動すると自動で開いて下記のようなロック解除画面に遷移してくれます。データベースのマスターパスワードを入力して「ロックを解除」をクリックすることでデータベースを開くことができます。
KeePassXC-Browser のインストール
KeePassXC-Browser というブラウザ拡張を各種ブラウザにインストールすることで、KeePassXC に登録したユーザ名やパスワードをサインイン画面の入力フィールドに自動入力することができるようになります。
具体的な対応ブラウザは公式のユーザガイドを参照してください。
本記事では Google Chrome を利用します。
chrome ウェブストアにアクセスし、「Chrome に追加」をクリックします。
確認画面がポップアップされるので、「拡張機能を追加」をクリックします。
ローカルのデータベースへの再接続などで頻繁にクリックすることになるので、KeePassXC-Browser をすぐに利用できるように拡張機能のショートカットを固定しておくと便利です。
Chrome の URL 入力フィールド右にある拡張機能管理のアイコンをクリックし、KeePassXC-Browser の押しピンアイコンをクリックすると固定できます。
ブラウザ統合用の設定
ブラウザ統合機能を利用するためには、KeePassXC 側で機能の有効化を行う必要があります。
KeePassXC を起動して上部メニューの歯車アイコンをクリック後、右メニューの「ブラウザー統合」をクリックするとブラウザ統合の設定画面に遷移するので、下図の通りにチェックを入れて「OK」をクリックしてください。
続いて KeePassXC-Browser と KeePassXC のペアリングを行います。
keePassXC を起動し、データベースを開いた状態で、ブラウザ上の KeePassXC-Browser のアイコンをクリックして「接続」をクリックします。
下記のような画面がポップアップしてくるので、ペアリング用の ID となる文字列を入力して「アクセスを許可して保存」をクリックします。
エントリの追加
いよいよ AWS アカウントを管理対象として登録してみようと思います。
データベースを開いて、上部メニューの「+」をクリックします。
下記を入力して「OK」をクリックします。
- タイトル:エントリーの名前
- ユーザー名:IAM ユーザ名
- パスワード:IAM パスワード
- URL:サインイン画面のベース URL
URL は KeePassXC-Browser が参照すべきエントリを特定するために利用されるので、サインイン画面のベース URL を入力する必要があります。https://{{ AWS Account ID or Alias }}.signin.aws.amazon.com/console 形式の URL はリダイレクトされてベース URL が変わるため、自動入力の対象エントリーとして認識されないのでご注意を。
KeePassXC-Browser からエントリに対するアクセス要求を許可する
登録したエントリを KeePassXC-Browser から参照できるように許可設定を行います。
データベースを開いた状態でブラウザから AWS マネージドコンソールのサインイン画面にアクセスすると、エントリへのアクセス許可設定画面が別ウインドウでポップアップするので、「記憶する」にチェックを入れて「選択したものを許可」をクリックします。
エントリーに参照できるようになると、ユーザ名入力フィールド上の KeePassXC-Browser アイコンが緑になるので、そのアイコンをクリックするとユーザ名とパスワードが自動で入力されます。
もし自動入力がうまくいかない場合は再度、データベースを開いた状態で AWS マネージドコンソールの画面を開き直してみてください。
AWS MFA の OTP を KeePassXC から自動入力できるようにする
KeePassXC には TOTP を生成する機能があるので、AWS MFA の OTP 生成用仮想デバイスとして利用可能です。
先ほど登録した AWS アカウントを MFA 対応させ、サインイン時の OTP を KeePassXC から自動入力するように設定してみたいと思います。
セキュリティ強度が気になる方は別の物理デバイスで管理してください。本記事では KeePassXC の TOTP を利用することの是非については考慮しません。
MFA を自己管理できるように IAM の権限が付与されている前提とします。本記事ではこちらを参考に最低限の権限を付与しました。
MFA デバイス追加を途中キャンセルすると CLI でしか削除できないゴミが残って面倒なので、やり切ってしまうことを推奨します。もしキャンセルしてしまった場合はクラスメソッドさんのこちらの記事がとても参考になります。
AWS マネージドコンソールの右上にあるアカウントメニューから「セキュリティ認証情報」をクリックします。
「多要素認証(MFA)」の「MFA デバイスの割り当て」をクリックします。
「名前」に適当なデバイス名を入力して「仮想 MFA デバイス」が選択されているのを確認して「続行」をクリックします。
なお、本記事と同様の IAM 権限の場合、「名前」はユーザ名と同じ文字列でなければ次の画面で権限エラーになります。
画面中央辺りにある「シークレットキーの表示」をクリックすると MFA シークレットキーが真下に表示されるので、それをコピーしておきます。(この文字列は後で KeePassXC のエントリに登録します)
KeePassXC のエントリー一覧から対象エントリーを右クリックで選択して「TOTP」>「TOTP の設定」をクリックします。
「秘密鍵」に事前にコピーした MFA シークレットキーを入力し、「規定の設定 (RFC 6238)」が選択されていることを確認して「OK」をクリックします。
再度対象エントリーを右クリックで選択して「TOTP」>「TOTP の表示」をクリックします。
現在表示されている OTP をコピーして IAM の MFA デバイス登録画面の「MFA コード 1」に入力します。続いてその次に表示される OTP をコピーして「MFA コード 2」に入力して「MFA の割り当て」をクリックします。
その後登録完了画面が表示されるので「閉じる」をクリックします。
ここまでの設定で、MFA の OTP も KeePassXC から自動入力できるようになりました。
AWS マネジメントコンソールサインインの OTP 入力画面で、入力フィールドの吹き出しのようなアイコンをクリックすると、OTP が自動入力されます。
普段の運用で改善したいと思っているところ
MFA ありの AWS アカウントを本記事のやり方で複数管理すると入力自動化が中途半端になる
MFA ありの AWS アカウントを本記事のやり方で運用すると、ユーザ名/パスワードの入力と OTP の入力で二度、手動で KeePassXC のエントリにアクセスする必要があることがわかると思います。私の場合は管理しているアカウント数が少ないので大した手間ではないのですが、ちょっとすっきりしません。
KeePassXC-Browser か自動入力機能を上手く使えば解消できるかもと思っているのですが検証できていないです。
おわりに
以上、KeePassXC の導入手順と便利な機能についての簡単な使い方を紹介しました。
ローカルに機密情報を保持しつつ利用できるので、業務利用する際の導入ハードルは低いのではないかと思います。
今回はブラウザからの自動入力にしか触れませんでしたが、CLI も存在します。
こちらも合わせて利用すれば、日々のアカウント運用をより楽にできそうですね。
KWC Advent Calendar 2022 はまだあと少しだけ続きます。
明日の投稿にもご期待ください。