みなさんこんにちは。マネージドサービス部MSS課の塩野(正)です。
2024年6月のre:InforceのセッションでAWS Identity and Access Management (IAM) の多要素認証(MFA)でpasskeysが使えるようになりましたよというのを聞いたので、その時に早速試してみたところうまく登録できずに撃沈しました。その当時の記事は下記の通りで、特に公式情報もないことから当時はPasskeyは使用できるもののWindows Helloには対応してなさそうな感じだなと推測していました。
その後ちょくちょく時間を置きながら設定できるかを試して、やっぱりダメだよなぁというのを確認する日々が続いていましたが、先ほど試したところ登録できそうだったので再度、その内容を記事にしました。なお、1点だけご注意いただきたいのが、2024年8月21日現在、ドキュメント上ではWindows Hello認証は非対応となっておりますので、当設定については自己責任でお願いします。
AWS でサポートされている FIDO2 デバイス
IAM では、USB、Bluetooth、または NFC 経由でデバイスに接続する FIDO2 セキュリティデバイスをサポートしています。IAM は、TouchID や FaceID などのプラットフォーム認証機能もサポートしています。IAM はWindows Hello のローカルパスキー登録をサポートしていません。パスキーを作成して使用するには、Windows ユーザーは、モバイルデバイスやハードウェアセキュリティキーなどのデバイスのパスキーを使用して別のデバイス (ラップトップなど) にサインインするクロスデバイス認証を使用する必要があります。
設定してみた
設定内容は前回と同じです。
1.Identity and Access Management (IAM)の画面の中のIAMユーザー>セキュリティ認証情報>多要素認証 (MFA) から「MFAデバイスの割り当て」をクリックする。
2.任意のデバイス名を入力して「パスキーまたはセキュリティキー」が選択されていることを確認の上、次へをクリックする。
3.今回は顔認証を使用します。顔をクリックすると自動的に認証されてOKをクリックする画面に変わりますので、ここでOKをクリックします。
※事前にWindows Helloで顔の登録が必要です。もし指紋認証しか登録されていない場合は、指紋を選択してください。
その後しばらくすると、下記のように登録完了の画面が表示されますので、OKをクリックします。
無事、多要素認証 (MFA) が登録されました(やったー!!)。
Windows Helloを使ってAWS マネジメントコンソールにログインしてみた
1.認証情報を入力してサインインします。
2.パスキー/セキュリティキーを選択して次へをクリックします。
3.今回はWindows Helloの顔認証の動作テストのため、先ほど登録した顔をクリックします。
4.無事認証されましたので、OKをクリックします。
5.AWS マネジメントコンソールにログインできました(やったー!!!!!)
まとめ
今までAWS マネジメントコンソールにログインする際に、MFA認証をおこなうために別デバイスにログインして認証したり、仮想MFAを起動してログイン用の情報を発行したりとめんどくさい操作だったのがノーストレスになってめちゃくちゃありがたいです(この機能はマジで感謝)。機能自体はとても便利な反面、本日時点ではAWS Identity and Access Management (IAM) の多要素認証(MFA)のPasskeyログインにWindows Helloが使用できないと記載されていますので、近いうちに何らかのアナウンスがあるか、環境によっては未だ使えない人がいるためこのような処置になっているかのどちらかではないかと推測しています。そのため、この記事を見て試してみたけど動かないから何で?ということをAWSサポートや弊社のような代行業者に問い合わせることだけはお控えいただくようお願いいたします。
この記事がどなたかのお役に立てれば幸いでございます。
