昨今、パスワードのリスト攻撃なども多いようなのでIDやパスワードだけではセキュリティ的に不安が残ります。
アカウントが乗っ取られた場合、高額請求がきたり犯罪(踏み台など)に利用されたりする恐れがあります。
そのため、AWSのルートアカウントのセキュリティを強化するためにルートアカウントを2段階認証させるようにします。
AWS上ではMFA(Multi-Factor Authentication)と呼ばれているます。日本語に直訳すると複数要因認証とかそんなところでしょうか。
この機能を利用するには、MFAデバイスを用意する必要があります。
これらのデバイスで認証コードを発行してMFAを利用します。
このこれらのデバイスには仮想MFAデバイスとハードウェアMFAデバイスがあります。
しかしこの記事では仮想MFAデバイスを利用して説明していきます。
仮想MFAデバイスはスマートフォンなどにアプリをインストールして利用するのが一般的です。
各プラットフォームごとにベンダーが用意しているアプリがあります。
・Android・・・AWS Virtual MFA、Google Authenticator
・iPhone・・・Google Authenticator
・Windows Phone・・・Authenticator
・BlackBerry・・・Google Authenicator
これらを使って認証していきます。
僕は、iPhoneを使っているので、この記事では「Google Authenticator」を使うことにします。
自分の端末にアプリをGooglePlayなりAppStoreからインストールしておきましょう!!
それではAWSにMFAを設定していきます。
↓↓続きから↓↓
MFAの設定
デバイスの用意ができたらMFAを実際に設定していきます。
まずはマネジメントコンソールに行きましょう。
そこにある、「管理およびセキュリティ」の項目の2つ目「Identity&AccessManagement」 を開きます。
セキュリティステータスなどが表示されると思います。
AWSが提案する、これぐらいのセキュリティ設定はしとけよ!って感じのやつです。
今回設定するのは、この項目の2つ目の「ルートアカウントのMFAをアクティブ化」です。
「ルートアカウントのMFAをアクティブ化」をクリックすると、でてくる「MFAの管理」をクリックします。
でてきたモーダルウィンドウの「仮想MFAデバイス」にチェックをいれて「次のステップ」をクリックします。
仮想MFAデバイスをインストールしているかどうかの確認です。iPhoneにGoogleAuthenticatorをインストールしているので「次のステップ」をクリックします。
QRコードが表示されると思うので、それをインストールしたMFA仮想デバイスのアプリから読み取ってせていしていきます。
(これは画像はのっけれないw)
読み取ると、認証コードが表示されるので、それをWebページのところに入力してアクティブ化しましょう。
設定がおわると以下の様な画面になります。
完了をクリックすると画面が閉じます。
更新するとアクティブ化しているのがわかると思います。
MFAをつかってサインインしてみる
いったん、右上からマネジメントコンソールからサインアウトします。サインイン画面に行きます。
メールアドレスとパスワードを入れてサインインを押してみてください。
そうすると、こんどはマネジメントコンソールではなく2段階認証のコード画面になります。
アプリを起動して表示された番号を入力して認証してください。
入力するといつもの、マネジメントコンソールに行き着きます!
これでMFAの設定は完了です。
簡単な設定なので安全第一を考えてアクティブ化しておきましょう!