AWSのIAMユーザーにYubikeyを設定する

AWS運用自動化サービス「Cloud Automator」

宮澤です。
以下の記事で、IAMユーザーの多要素認証として”Yubikey”が利用可能になりましたので、その設定手順を紹介したいと思います。
https://aws.amazon.com/jp/about-aws/whats-new/2018/09/aws_sign_in_support_for_yubikey_security_key_as_mfa/

Yubikeyとは

YubikeyはPCに接続して使用する認証デバイスで、すべてのOSやブラウザで利用可能なデバイスです。
これを利用して、ワンタイムパスワードの生成や、FIDO U2Fの二段階認証などの、より強力な認証を実現できます。

今回の設定手順では、Yubikey4C Nano を利用します。
https://www.yubion.com/shop/html/products/detail.php?product_id=15

設定手順

マネジメントコンソールにログインして、”IAM”の画面に移動します。
その後、”ユーザー”から”Yubikey”を設定したいユーザーを選択します。

“認証情報”タブを開き、MFAデバイスの割当に表示されている”管理”を押します。

“U2F セキュリティキー”を選択して”続行”を押します。

以下の画面が表示されるので、”Yubikey”をPCに挿入して”金色の部分”をタップします。

Chromeを利用した場合、以下のポップアップが表示されるので”許可”を押します。

正常に設定が完了すると以下のポップアップが表示されるので”閉じる”を押します。

ログイン確認

IAMユーザーでログインを行います。

その後、以下のような画面が表示されるので、PCにYubikeyを挿入し”金色の部分”をタップすることでログインが完了します。

まとめ

今回紹介”Yubikey”を利用することで、ログイン時にTOTPを利用しているときのように、ワンタイムパスワードを入力する必要がなくなり、安全性を確保しつつ運用が楽になります。
また、物理MFA等の場合、電池切れを心配する必要がありましたが、Yubikeyは耐久性も高く、電池の心配もする必要が無いので、安心して長く使うことができます。
今回はAWSの手順を紹介していますが、弊社で提供しているシングル。サイン・オン製品の”OneLogin”のユーザー認証にもYubikeyを利用することができます。

また、AWSがサポートするYubikeyデバイスは以下に公開されています。
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_u2f_supported_configurations.html#id_credentials_mfa_u2f_supported_devices

AWS運用自動化サービス「Cloud Automator」