こんにちは。
アプリケーションサービス部インターナルエデュケーション課で修行中(研修中)の大浪です。
AWSのrootアカウントやIAMユーザに紐づけられるMFAデバイスが、これまでの1つから最大で8つに広がったというアップデートが公開されていました。
AWS Identity and Access Management now supports multiple multi-factor authentication (MFA) devices
早速試してみたいと思います。
作業前
今回はIAMに追加をしてみようと思います。
既にスマートフォンで仮想MFAを紐づけているので、IAMの画面の「多要素認証(MFA)」に1件登録されています。
MFAデバイスを追加してみる
追加するMFAデバイスはWindowsのWinAuthにしてみます。
「MFAデバイスの割り当て」ボタンを選択し、2台目の登録に進みます。
名前が入れれるようになってますね。 「windows-WinAuth」と入れて、続行します。
ここからはWinAuthのMFAデバイスの設定手順は下記の記事がありますので、こちらの手順に沿って登録します。
WinAuth側は「aws-multiple-mfa-device」という名前で登録します。
登録できました。
登録時に入れた名前がシリアル番号に入っています。
ログインしてみる
ログインのMFAコード入力画面のUIは変わりありませんでした
WinAuthのコードを入力してみます。
ログインできました。
登録しているMFAデバイスのどのコードでもログインできるようです。
気を付けたいこと
生体認証付きのMFAデバイスを使う
設定できるMFAデバイスが増えると盗難のリスクも増えます。
万一盗まれた時でも使用できないように指紋や顔の生体認証付きのMFAデバイスを使用すると良さそうです。
複数人でIAMユーザを共有しない
MFAデバイスが複数設定できるため、MFAを設定しても複数人で1つのIAMユーザを共有して使うことができるようになりました。
ただ、1つのIAMユーザを共有するとCloudTrailなどの操作ログを残していたとしても 実際に誰が操作をしたのか が分からなくなります。
トラブルを避けるためにもIAMユーザの共有はやめておきましょう。
まとめ
IAMに2台目のMFAデバイスの登録をしてみました。
これまでMFAデバイスの紛失やスマートフォンの機種変更などでログインできなくなった場合、
一度MFAの登録を解除するといったSPOFになっていましたが、これで冗長化できるため心配事が一つ減りそうです。
