みなさんこんにちは。ネコ好きなマネージドサービス部の塩野です。
re:Inforceのセッション見られました? 個人的にはセキュリティ周りのアップデートでわくわくする話が多いなという印象を受けましたが、 今回はその中でもセッションの中で取り上げられていたIAMのMFAでpasskeysが使えるようになりましたよというお話です。
What's New AWSで取り上げられている記事は下記の通りです。
AWS Identity and Access Management (IAM) now supports passkeys for multi-factor authentication to provide easy and secure sign-ins across your devices. Based on FIDO standards, passkeys use public key cryptography, which enables strong, phishing-resistant authentication that is more secure than passwords.
~日本語訳~
AWS Identity and Access Management (IAM) が多要素認証用のパスキーをサポートし、デバイス間で簡単かつ安全なサインインを提供します。FIDO標準に基づくパスキーは公開鍵暗号を使用し、パスワードよりも安全でフィッシングに強い強力な認証を可能にします。 aws.amazon.com
これは試してみるしかないですね。
やってみた
パスキーの登録
それでは実際の画面を見てみましょう。
Identity and Access Management (IAM)の画面の中のIAMユーザー>セキュリティ認証情報>多要素認証 (MFA) >MSAデバイスの割り当てから新規割り当ての画面を見ると、確かに項目がひとつ増えていますね。
では次の画面に進んで設定してみましょう。
生体認証の項目として色々な設定項目が出てきましたね。 ここは「漢は黙って顔認証w」と言いたいところですが、私の環境ではWindowsのパソコンとの相性が悪くて顔認証がうまく動作できませんでした(ぐぬぬっ)。
このまま画面遷移としては、以下の画面でOKボタンをクリックすると登録完了の画面に進みます。
Windows Helloを使用して次の画面に遷移すると真っ白な画面になって登録できませんでした。余談な話ですが、この事象は社内でも複数確認されておりました。
スマホなど別デバイスを使用するとPasskeyの登録はできるようです。
気を取り直してスマホにPasskeyを登録しましょう。
ユーザーを確認していますの画面で別のデバイスを使用するを選択します。
iPhone、iPad、またはAndroidデバイスを選択します
QRコードが表示されますのでQRコードをスマホで読み取り、スマホ側で登録をおこないます。
※下記画像の中で一部QRコードはマスクさせていただきました
スマホ側で登録が終わると下記のようなダイアログが表示されますので、OKを押します。
登録が完了すると、下記のようにパスキーとセキュリティキーとしてMFAの登録項目が一つ増えているのが確認できます。
なお、セキュリティキーの登録がうまくできない場合は下記のドキュメントに記載の項目を試してみるとよさそうです。
FIDO セキュリティ キーを有効にできない場合は、次の点を確認してください。
・サポートされている構成を使用していますか?
・Mozilla Firefox をお使いですか?
・ブラウザプラグインを使用していますか?
・適切な権限をお持ちですか?
docs.aws.amazon.com
また、パスキーとセキュリティキーの使用にサポートされている構成は下記のドキュメントが参考になります。
パスキーを使ったログイン
ではパスキーを使ってログインしてみましょう。
パスキー認証にすると、認証情報が登録されたデバイスに認証をおこなう情報が飛びます。今回はスマホで登録しましたので、スマホ側で認証をおこなうといつも通りマネジメントコンソールにログインできました。
まとめ
生体認証などのハードウェア認証は便利な反面、物理的なものが壊れてしまうとログインできなくなるリスクもあるため、 可能なら物理デバイスを複数登録して予備を家や職場のロッカーなどに保管しておくか、普段使いようにPasskeyを登録しておいて 予備として認証アプリケーションなどを使用するのがいいのかもしれません。
こういった便利な機能はどんどん取り入れていきたいですね。