はぐれメタルはにげだした

身近な趣味からテクニカルな話題まで幅広く取り扱っていきます

技術

AWSルートアカウントのMFA設定方法

投稿日:2018年2月24日 更新日:

この記事の所要時間: 455

通常のログインメージ

MFA設定後のログインメージ

ルートアカウントはAWSに対するフルアクセス権限を持っているため、もし第三者に流出し悪用されてしまうと甚大な損害を被る恐れがあります。

そうした事故を防止するためにMFA(他要素認証)を使用することが強く推奨されています。

MFAとは、通常使用するアカウントパスワートは別に、常時変化する第2のパスワード(ワンタイムパスワード)を使用することでセキュリティを強化する仕組みのことです。

第2のパスワードは特定のMFAデバイス(自分のスマホやPC端末など)からのみ取得できるため、仮にアカウントパスワードが流出しても、端末を自分が所持している限りは第三者にアカウントを悪用されるリスクを限りなく低くできます。

当記事では、MFAの設定方法についてご説明します。

MFAの設定手順

マネジメントコンソールでIAMの管理画面を開く

IAMのダッシュボードを開くと、セキュリティステータスが表示されます。

アカウント作成直後では、5項目中4項目が未実施となっているので、これらを1つずつ対応してセキュリティを高めてやる必要があります。

今回はルートアカウントにMFAの設定をするので「ルートアカウントのMFAを有効化」をクリックしてから「MFAの管理」をクリックします。

MFAデバイスの選択

次にMFAデバイスを選択します。

今回はスマホでワンタイムパスワードを発行するようにするので、「仮想MFAデバイス」を選択して「次のステップ」へ進みます。

スマホにアプリのインストール

さて、画面には何やらQRコードが出ているかと思いますが、これをスマホアプリの Authenticator で読み込みます。

iOS
Android

Authenticatorはgoogleが公開している無料アプリで、AWSに限らず様々な場面で使用できる二段階認証アプリです。

AuthenticatorでQRコードを読み取る

インストールが済んだらアプリを起動し、画面右上の + をタップします。

次に、画面下部の「バーコードをスキャン」をタップします。

QRコードの読込みモードになるので、PC画面上に表示されているQRコードを読み取ります。

読込みを完了すると、MFAデバイスにはこのような画面が表示されます。

大きく表示されている数字がワンタイムパスワードです。

このパスワードは30秒毎に自動更新されます。

AWSルートアカウントとMFAデバイスを関連付ける

では、MFAデバイスに表示されているこのワンタイムパスワードとAWSルートアカウントを紐付けてみましょう。

PC画面には「認証コード1」と「認証コード2」の入力欄があります。

ここに、MFAデバイスに表示されるワンタイムパスワードを入力していきます。

今表示されているパスワードを「認証コード1」に入力し、30秒待ってから、次に表示されるパスワードを「認証コード2」に入力します。

どちらも入力したら、次のパスワードに切り替わる前までに「仮想MFAの有効化」をクリックします。

設定完了

有効化が完了すると、完了メッセージが表示されます。

「完了」をクリックしてメッセージを閉じます。

設定確認

画面をリロードすると、セキュリティステータスが更新されています。

MFAの設定はこれで完了です。

サインアウト

せっかくなので、動作確認をしてみましょう。

画面右上からサインアウトします。

サインアップ

右上から再度サインアップします。

ルートアカウントで認証

ルートアカウントでログインしてみます。

まずは今まで通り、ルートアカウントのIDとパスワードを入力してから「Sign in Using our secure server」をクリックします。

今まではこれでAWSにログインできていました。

MFA認証

今回からはさらにワンタイムパスワードの入力が必要です。

MFAデバイスを開き、表示されているパスワードを入力します。

これでログインできるはずです。

まとめ

今回はAWSでの二段階認証の設定方法について説明しました。

MFAを設定することで、仮にルートアカウントの情報が第三者に漏洩しても、MFAデバイスが手元にあれば不正使用は回避できます。

しかし、これは逆に言うと、もしMFAデバイスを紛失してしまうと自分自身もログインできなくなることを意味します。

持ち物の管理にはくれぐれも気をつけましょう。

万が一、紛失してしまった場合は、サポートに問い合わせてMFAを無効化してもらう必要があります。

[MFA デバイスの紛失および故障時の対応]

二段階認証はアカウントを守るために必須のセキュリティ対策です。

ルートアカウントだけでなくIAMユーザにも設定できますので、基本的には全てのアカウントに対して設定することが望ましいですね。

こんな記事も読まれてます

20代30代の客先常駐ITエンジニアが最速で年収を上げる方法

この記事の所要時間: 1456

この記事の所要時間: 約 14分56秒 もしあなたが以下の3つ全てに該当するエンジニアであれば、今すぐにでも転職をオススメします。 客先常駐型のエンジニアとして働いている 案件の途中で契約を切られるこ …

Related posts:

  1. 【AWS】IAMユーザーとIAMロールの違いを理解して適切に権限管理する
  2. AWSでIAMユーザのパスワードポリシー設定方法
  3. wordpressにDoSの脆弱性が見つかった話(CVE-2018-6389)
  4. 20代30代の客先常駐ITエンジニアが最速で年収を上げる方法

-技術
-, , , , ,

執筆者:

関連記事

AWSアカウントの作成方法と無料で使い続けるたった1つの方法

この記事の所要時間: 89

この記事の所要時間: 約 8分9秒 多くのクラウドサービスでは、サービスを試用するための無料枠が用意されています。 AWSでも色々なサービスの無料枠が提供されていますが、EC2などほとんどのサービスは …

AWS WAFマネージドルールの致命的な1つのデメリット

この記事の所要時間: 1250

この記事の所要時間: 約 12分50秒 企業がWAFを導入するにあたって頭を悩ませるポイントはいくつかありますよね。 いま世の中ではどんな攻撃が蔓延ってるのか、それらの攻撃からサービスを守るにはどんな …

AWS WAFでWordPressを保護するための設定例

この記事の所要時間: 161

この記事の所要時間: 約 16分1秒 AWS WAFはセットアップするだけならクリックぽちぽちでいけるので非常に簡単なんですが、いざ運用を検討しだすとハマりポイントがいくつも出てきて頭を悩ませてしまい …

wordpressにDoSの脆弱性が見つかった話(CVE-2018-6389)

この記事の所要時間: 926

この記事の所要時間: 約 9分26秒 2018年2月5日、Barak Tawily氏によってwordpressの新たな脆弱性が発見されました。 Barak氏によると、load-scripts.phpに …

ブログで指定した期日を過ぎたら自動で文章を更新させる方法

この記事の所要時間: 1117

この記事の所要時間: 約 11分17秒 さきほどtwitterを見てたらこんなツイートが話題になってました。 前回公開した記事の中で、実は残日数をカウントダウンさせるプラグインが入ってます。 残日数の …

PREV
AWS構成図の自動生成ツールCloudMapperを試した話
NEXT
【AWS】IAMユーザーとIAMロールの違いを理解して適切に権限管理する

プロフィール

プロフィール



はぐれん@フリーランサー

10代〜20代前半くらいまではガンガンいこうぜ。20代半ばで鼻っ柱を砕かれて一度はめいれいさせろの支配下に置かれかけたものの、いや逃げりゃいいんじゃんって気付いてからはまた違う世界が見えて来た。30代半ばに差し掛かった今、いろいろやろうぜ。

2019/02/08

dockerでNEMのフルノード(NIS)を立てる

2019/02/06

運動で健康な体を手に入れたい人にオススメの1冊

2018/12/02

2018年M1グランプリ優勝コンビ霜降り明星の過去ネタ一覧

2018/11/20

新作「スーパーロボット大戦T」にゲシュペンスト参戦決定!

2018/11/20

「おのゆー」こと声優の小野友樹さんが自転車転倒で骨折

人気の記事

まだデータがありません。