AWSアカウントにMFA(二要素認証)を有効にする

2019-06-05

AWSアカウントのMFA設定

AWSを始める前に

  • AWSアカウントを作成したら、AWSでサーバーを作る前にやるべきことがあります。それはAWSアカウントの認証を強化することです。
  • 最近は、パスワードリスト攻撃が増えており、ユーザー名とパスワードだけではセキュリティ対策が不十分です。もし、あなたのAWSアカウントが乗っ取られると、莫大な利用料金が請求されることや、最悪の場合犯罪に利用されることも考えられます。
    (パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。ネットユーザーの多くが複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法であるため、プログラムによる検出が難しい点が特徴です。)
  • AWSアカウントには、ユーザー名とパスワードだけでなく、MFAを使用して、二要素で認証するように設定しましょう。MFAはAWSアカウント(ルートアカウント)だけでなく、IAMユーザーにも設定可能です。

MFAデバイスの用意

  • MFAを利用するためには、認証コードを発行するデバイス(MFAデバイス)が必要になります。MFAデバイスには、仮想MFAデバイスとハードウェアMFAデバイスの2種類があります。
  • 仮想MFAデバイスは、スマートフォン用のアプリを利用します。利用可能なアプリは、以下AWSのページを参照ください。僕の場合は、iphoneのGoogle 認証システムのアプリを利用しています。

  • ハードウェアMFAデバイスは、金融系などの高いセキュリティを求められる顧客で利用されます。

AWSマネジメントコンソールにアクセスする

  • AWSのトップページを開き、[コンソールへログイン]のボタンを押します。

  • AWSアカウントでログインします。まだアカウントを作成していない方は、以下の記事を参照してください。

  • 以下、AWSマネジメントコンソールのトップ画面です。右上のアカウントメニューから、「セキュリティ認証情報」を選択します。

  • 以下の警告が表示された場合、[Continue to Security Credentials] をクリックします。また、警告の通り、実際にAWSを利用する際には、AWSアカウント(ルートアカウント)ではなく、IAMユーザーを使う方が安全です。IAMユーザーの作成方法は、次回ご紹介します。

  • 以下セキュリティ認証情報の画面が表示されたら、[MFAの有効化]をクリックします。続いて、[MFAデバイスの管理]の画面が表れるため、仮想MFAデバイスを選択します。

  • 以下仮想MFAデバイスの設定の画面が表示されます。1のステップに説明されているアプリがインストールされていない場合は、前述のアプリをインストールします。次に、2のステップで[QRコードの表示]をクリックすると、QRコードが表示されます。
  • 仮想MFAデバイス用のアプリからQRコードをスキャンします。
  • QRコードを読み取ると認証コードが発行されます。MFAデバイス上に表示されているコード 2つを、MFAコード1MFAコード2 にそれぞれ入力し、[MFAの割り当て]をクリックします。

MFAを使ったサインイン

  • AWSアカウント(ルートアカウント)のMFA有効化が完了したら、MFAを使ったサインインをしてみましょう。
  • AWSマネジメントコンソールをサインアウトして、再度サインインをクリックします。以下のようにMFAコードの入力画面が表示されます。ここで、MFAデバイス(仮想MFAデバイスのGoogle 認証システムなどのアプリ)に表示されている認証コードを入力して、Submitをクリックします。
  • 今後はAWSアカウントでサインインする場合には、今回登録したMFAデバイスが必要になります。