AWSアカウントにMFA(二要素認証)を有効にする
AWSアカウントのMFA設定
AWSを始める前に
- AWSアカウントを作成したら、AWSでサーバーを作る前にやるべきことがあります。それはAWSアカウントの認証を強化することです。
- 最近は、パスワードリスト攻撃が増えており、ユーザー名とパスワードだけではセキュリティ対策が不十分です。もし、あなたのAWSアカウントが乗っ取られると、莫大な利用料金が請求されることや、最悪の場合犯罪に利用されることも考えられます。
(パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。ネットユーザーの多くが複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法であるため、プログラムによる検出が難しい点が特徴です。) - AWSアカウントには、ユーザー名とパスワードだけでなく、MFAを使用して、二要素で認証するように設定しましょう。MFAはAWSアカウント(ルートアカウント)だけでなく、IAMユーザーにも設定可能です。
MFAデバイスの用意
- MFAを利用するためには、認証コードを発行するデバイス(MFAデバイス)が必要になります。MFAデバイスには、仮想MFAデバイスとハードウェアMFAデバイスの2種類があります。
- 仮想MFAデバイスは、スマートフォン用のアプリを利用します。利用可能なアプリは、以下AWSのページを参照ください。僕の場合は、iphoneのGoogle 認証システムのアプリを利用しています。
- ハードウェアMFAデバイスは、金融系などの高いセキュリティを求められる顧客で利用されます。
AWSマネジメントコンソールにアクセスする
- AWSのトップページを開き、[コンソールへログイン]のボタンを押します。
- AWSアカウントでログインします。まだアカウントを作成していない方は、以下の記事を参照してください。
- 以下、AWSマネジメントコンソールのトップ画面です。右上のアカウントメニューから、「セキュリティ認証情報」を選択します。
- 以下の警告が表示された場合、[Continue to Security Credentials] をクリックします。また、警告の通り、実際にAWSを利用する際には、AWSアカウント(ルートアカウント)ではなく、IAMユーザーを使う方が安全です。IAMユーザーの作成方法は、次回ご紹介します。
- 以下セキュリティ認証情報の画面が表示されたら、[MFAの有効化]をクリックします。続いて、[MFAデバイスの管理]の画面が表れるため、仮想MFAデバイスを選択します。
- 以下仮想MFAデバイスの設定の画面が表示されます。1のステップに説明されているアプリがインストールされていない場合は、前述のアプリをインストールします。次に、2のステップで[QRコードの表示]をクリックすると、QRコードが表示されます。
- 仮想MFAデバイス用のアプリからQRコードをスキャンします。
- QRコードを読み取ると認証コードが発行されます。MFAデバイス上に表示されているコード 2つを、MFAコード1、MFAコード2 にそれぞれ入力し、[MFAの割り当て]をクリックします。
MFAを使ったサインイン
- AWSアカウント(ルートアカウント)のMFA有効化が完了したら、MFAを使ったサインインをしてみましょう。
- AWSマネジメントコンソールをサインアウトして、再度サインインをクリックします。以下のようにMFAコードの入力画面が表示されます。ここで、MFAデバイス(仮想MFAデバイスのGoogle 認証システムなどのアプリ)に表示されている認証コードを入力して、Submitをクリックします。
- 今後はAWSアカウントでサインインする場合には、今回登録したMFAデバイスが必要になります。