Help us understand the problem. What is going on with this article?

AWSアカウント作ったらこれだけはやっとけ!IAMユーザーとAuthyを使ったMFAで2段階認証

More than 5 years have passed since last update.

AWSアカウントを安全に運用したいなら最低限これだけはやっとけというTIPSです。

0.AWSのアカウントの種類

AWSアカウントを作ったときには、AWSのrootアカウントしか存在していません。
975029f3-61de-45ed-429b-ddf08b256388.png

このままだと「メールアドレス」「パスワード」で「AWSリソースの操作が何でも」できてしまいます。

そこで管理コンソールへのログインはMFA(Multi-Factor Authentication)を利用したうえで、root以外にIAM Userというアカウントを作成し、限定した権限で利用することが強く推奨されています。

  • rootアカウント:AWSアカウント作成時に作成される何でもできるユーザー
  • IAMユーザー:権限を限定して設定できるユーザー


1.Authyのセットアップ

2段階認証を導入するためにハードウェア型のMFAデバイスか、ソフトウェア型のVirtual MFAが使用可能です。今回はVirtual MFAとしてiPhoneアプリ「Authy」を使ってみましょう。

AuthyはGoogle Authenticatorと違い、Authy内部のデータがセキュアにバックアップされるため、いざiPhoneが壊れた場合にも、Authyに登録した電話番号とパスワードで復旧が可能であるという特徴を持っています。
※ 8.6訂正:"電話番号とメアド"と書いてました。正しくは"電話番号とパスワード"です。

1-1.Authyをダウンロード

App StoreからAuthyをダウンロードします。
IMG_0682.png

1-2.電話番号/メールアドレス入力

IMG_0690_.png

1-3.電話かSMSでアクティベート

IMG_0691.png

1-4.PIN入力

IMG_0692.png


2.rootアカウントにMFAで2段階認証を導入する

AWSのrootユーザーでログインし、IAM管理画面にログインします。すると、中段に「Security Status」というセキュリティのアドバイスが表示されています。
ここでは「2/5項目であるrootアカウントへのMFA導入」を行います

2-1.Activate MFA on your root accountで「Manage MFA」を押下

f945be39-1d68-f1b2-5c10-5b9955a86974.png

2-2.「A Virtual MFA」を選択して次へ

f68997db-da36-4d1c-cc8c-42d24b195562.png

2-3.確認して次へ

290f7abd-0c49-c9d7-33f9-fb26598243e3.png

2-4.QRコードが表示される。

9d3d00d7-4eb2-b482-da66-48cc43fcf0c0.png

2-5.iPhoneでAuthyを起動し画面した部分からサービスのパネルを引き上げ「+ Add Account」を選択

IMG_5353.png

※画面を最新化しときました。

2-6.「Scan QR Code」を選択し、画面に表示されているQRコードを読み込む。

c6f6704a-6a50-c47e-586c-9ff5bc8fd2b7.png

2-7.「Done」を押下してAuthyへのrootアカウントの登録は完了です。

534d294c-1ebc-49f9-0f7b-836db0ee8f4a.png

2-8.Authyの該当アカウントを選択すると、6桁の数字が表示されます。

IMG_5355.png

2-9.Authyに表示されている数字を「Authentication Code 1」に入力、時間が経過し、次にAuthyに表示される数字を「Authentication Code 2」に入力したら次へ

cb35b161-0cab-7406-92c6-fbcf97e5ec6c.png

2-10.これでrootアカウントのMFA化は完了です。次回rootアカウントでAWSにログインするときはAuthyで表示される6桁の数字を入力するとログインできます。

IMG_5355.png


3.IAMユーザーを作成する

次に普段使いするAWSアカウントとして、個人のIAMユーザーを作成しましょう。

3-1.IAMユーザー作成

3-1-1.「Create individual IAM users」の「Manage Users」を押下します。

4c42abb0-2543-07f6-9ac4-17c3eb0a70e9.png

3-1-2.IAMユーザー管理画面になるので「Create New Users」を選択します。

79c081e5-0b97-6d20-ba0e-2c4180ee8581.png

3-1-3.名前を入力して「Create」します。

71f41ff7-f132-9fc0-3baf-411b62164f63.png

  • 生成されたCredentialも大事に保管しておきましょう(CSVでダウンロードもできます)。API(CLIやSDK)でアクセスするときに必要になります。

937f79d5-2b5c-91f2-f952-d55b2d841b33.png

3-2.ポリシーの適用

3-2-1.該当のIAMユーザーができたら、再度選択し、Permissionsの欄から「Attach User Policy」を選択します。

969c03bc-3e35-e471-979b-8c70d00e7574.png

3-2-2.このIAMユーザーに設定する権限のポリシーを選択します。今回は「Administrator Access」を選択しました。

2bdaf9d0-c56c-d243-b237-85c498d44991.png

3-2-3.内容を確認したら「Apply Policy」でポリシーを適用します。

07d236e7-dd43-6107-6857-0f0d9899685f.png

3-3.ログインパスワードの設定

3-3-1.IAMユーザーの管理画面に戻り、「Manage Password」を押下

e4e09be8-c9ad-842b-f45f-bf63c8dd0ef5.png

3-3-2.自動生成するか、自身でパスワード文字列を設定し「Apply」

b67e00ac-fe9c-82f3-01dc-de4cd6fb9c39.png

3-4.Virtual MFAデバイスの設定

3-4-1.rootユーザーにMFAを設定したように、このIAMユーザーにもMFAを設定します。

46c33c86-5d7d-af6a-e7d5-1a859cf361e9.png

3-4-2.Virtual MFAを選択

要領はrootユーザーと一緒です。

90db1bd5-c162-3f9b-9d09-96004168a9cc.png

3-4-3.AuthyでQRコードを読む

この要領もrootユーザーと一緒です。

bf21f9c0-0611-775f-ab68-bca2d52d1714.png



これでIAMユーザーの設定は完了です。


4.IAM Groupの作成

次のSecurity Status(4/5)には、IAM Groupの作成が推奨されています。

3で作ったIAMユーザーは「ユーザー単位にポリシーを適用」しましたが、こちらは「グループ単位にポリシーを適用」するものです。たとえばユーザーA自体には何も権限がなくても、所属するグループにPoweruser Accessが付与されているとPoweruser Accessができるようになるといった使い方ができます。

4-1.IAM Groupの作成

要領はIAMユーザーと同じなので、同様にして一つ作成してみてください。

f16a66b8-0983-1fa9-f748-6ba268659203.png


5.Password Policyの設定

5-1.Password Policyの設定

IAMユーザー(rootユーザー以外)に共通したパスワードのルールをここで変更します。
パスフレーズの強度設定や、一定期間でのパスワードの有効期限切れ設定などが可能です。

4c0ed89c-8f50-4fb0-be7e-8fb98c0c6a9c.png

これでSecurity Statusはオールクリアになりました。


6.おまけ:IAM users sign-in linkのカスタマイズ

IAMユーザーとして今後Amazon Management Consoleにログインするための、URLショートカットである「IAM users sign-in link」を覚えやすいものにカスタマイズしておきましょう。

6-1.IAM users sign-in linkのカスタマイズ

6a7e1919-c20a-9fbf-0dbc-5398d850eb6f.png

6-2.IAMユーザーでAWSにログイン

最後にカスタマイズしたIAM users sign-in linkからIAMユーザーのMFAでログインできることを確認したら完了です。お疲れさまでした。

64d6d4af-52a6-7340-10a7-25febf5b75bd.png


まとめ

IAMやMFAは非常に便利で「強力な」機能です。使いこなしてセキュアにAWSを運用できるようになりましょう。

Why do not you register as a user and use Qiita more conveniently?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away