こんにちは、新人の下山です。
検証用のAWSアカウントをもらったので色々試してみています。ですがその前に、まずはセキュリティの強化を。
ということで、AWSのハードウェアMFAを試してみました。
今回はその結果をレポートします。
ハードウェアMFAとは
AWS Multi-Factor Authentication (MFA) は、AWSが提供している多要素認証です。
MFAを有効にすると、ユーザがAWSマネージメントコンソールにサインインするときに、ユーザ名とパスワードの他に、AWS MFAデバイスからの認証コードを入力することが必要になります。このように複数の要素を組み合わせることによって、AWSアカウントの設定とリソースのセキュリティが強化されます。
AWSでは次の3種類のデバイスを用いたMFAが利用可能です。
- 仮想MFAデバイス
- キーホルダータイプのMFAデバイス
- カード型のMFAデバイス
デバイスを提供しているのは、サードパーティプロバイダのGemalto社です。
購入はAmazon.com(海外)からです。
今回は、カード型のMFAデバイスを使ってみます。
値段は、本体($19.99)+送料($10.36)です。
このカード型のMFAデバイスは、右下のpressと書いてあるところがボタンになっています。それを押すと右上にMFAデバイスのコードが表示されます。
実際に使ってみました。
今回行ったのは、AWSのIAMユーザに対しての認証です。
全体の流れは次の通りです。
1)IAMダッシュボード
2)IAMのユーザ名を選択。
3)サインイン認証情報のMFAデバイスの管理を選択。
4) ハードウェアMFAデバイスを選択して次のステップへ。
5) シリアル番号、認証コード1、認証コード2を入力。最後に次のステップを。
6) 完了
画像付きで説明していきます。
1) IAMダッシュボードに行きます。
2) ユーザーからIAMのユーザ名を選択。
3)サインイン認証情報のMFAデバイスの管理を選択。
4) ハードウェアMFAデバイスを選択して次のステップへ。
5) シリアル番号、認証コード1、認証コード2を入力。最後に次のステップを。
ここで、シリアル番号には、カード裏面に記載されている番号を入力します。
認証番号1には、カード右下のpressボタンを押すことで表示されるMFAデバイスのコードを入力します。
30秒ほど経つとデバイスがリフレッシュされます。リフレッシュ後に表示されたMFAデバイスのコードを認証番号2に入力します。
6) 完了
次回サインインするときにはMFAデバイスのコードを入力するよう求められます。
MFAデバイスを複数のアカウントで共有することはできません。MFAデバイスは個々のAWSアカウントまたはIAMユーザに関連付けられます。MFAデバイスの関連付けを解除すれば利用できます。
MFAデバイス紛失、損傷、被盗難時の対処法
IAMアカウントに対してのMFA認証は、ルートアカウントから解除できます。 解除してしまえば、MFA認証を求められることなくIAMアカウントにサインインできます。
ルートアカウントに紐づけたMFAのデバイスが故障や紛失してしまった時は、、、
サポートページからMFAデバイスの無効化を依頼することで、一時的にユーザー名とパスワードだけでアクセスできるようにしてもらいます。その後再設定を行います。(詳細はこちら)
MFAデバイスの寿命について
先ほどのカード型MFAデバイスの寿命ですが、Gemalto社によると、約3年 or 約15000クリックとのことです。 <br/ >基本的には、紛失時などと同じで、MFAデバイスの無効を依頼して再設定のようです。
以上、ハードウェアMFAについてのブログでした。
最後まで読んでいただきありがとうございます。
今後ともよろしくお願いいたします!