はじめに
今回はAWSのMFA認証(多要素認証)についての設定について書きました。
自分用のメモや初学者向けに記事を書いていますので、ご了承ください。また、記事の中で間違っているところがございましたらコメントで指摘していただけると嬉しいです。
MFA認証(多要素認証)とは
複数の異なる認証方式を組み合わせて、本人確認の精度と安全性を高める方式である。
認証方式は主に、「知識情報」、「所持情報」、「生体情報」の三要素のうち二つの要素を組み合わせて行う認証が一般的によく使われている。
知識情報
パスワード、PINコード、秘密の質問など
所持情報
携帯電話、トークン、ICカードなど
生体認証
指紋、声紋、顔、静脈、虹彩など
事前準備
お手持ちのスマートフォンなどでGoogle Authenticatorをインストールする。
iPhoneの方はこちら
Androidの方はこちら
※今回はGoogle Authenticatorを使用しますが、他にもMicrosoft AuthenticatorやTwilio Authyでも問題ありません。
AWSでMFA認証(多要素認証)を設定する
まず、AWSのマネジメントコンソールにログインする。
ログインができたら、サービス検索からIAMを検索する。検索したら、候補が出てくるのでIAMをクリックする。
※今回はMFA認証の設定なのでIAMの説明は割愛します。詳しくは下記リンクなどを参考に調べてみてください。
https://aws.amazon.com/jp/iam/
「セキュリティに関するレコメンデーション」の「MFAを追加」をクリックする。
そうすると、「セキュリティ認証情報(ルートユーザー)」 ページに遷移するので、「多要素認証(MFA)」の「MFAデバイスの割り当て」をクリックする。
「MFAデバイスの割り当て」 ページに遷移したら、「MFAデバイス名の指定」から適当なデバイス名を指定する。次に、「MFAデバイスを選択」から認証アプリケーションを選択し、「次へ」をクリックする。
「QRコードを表示」をクリックすると、QRコードが表示されるので、Google Authenticatorをインストールした端末からGoogle Authenticatorを起動する。
※以下はiPhone利用の場合の例です。
QRコードを読み取ると、Google Authenticatorに以下のような画面で、ワンタイムパスワード(6桁)が表示される。
※ワンタイムパスワードは30秒ごとに切り替わるので注意してください。
表示されたワンタイムパスワードを「MFA コード 1」に入力し、ワンタイムパスワードが切り替わったら「MFA コード 2」にワンタイムパスワードを入力し、「MFAを追加」をクリックする。
MFA認証(多要素認証)の設定が完了すると以下のような画面になる。
正しく設定されているか確認する
ログインしたままの場合は一旦、ログアウトする。再度AWSに「ルートユーザー」を選択し、Eメールアドレスを入力し、ログインする。
正しく設定されている場合、以下のように「MFAコード」の入力画面に遷移する。ここで、Google Authenticatorに表示されているワンタイムパスワードを入力してログインする。
参考