【AWS初心者向け】AWSのアカウントを作ったらルートアカウントにMFAを設定しよう

AWS

こんにちは、Ryoです。

【AWS初心者向け】アカウントを作成した直後にやることシリーズの第一回です。
この手順は、本当に一番最初にすることです!必ずやりましょう。

そもそも、、、どうしてMFAの設定をするの?

通常は、ログインユーザとパスワードを入れて「ログイン」ボタンをクリックするだけでいいですが、もう一段階、認証の機会を増やしてあげることでセキュリティリスクを抑えてあげます。
ルートアカウントは何でもできてしまう認証情報です!
この情報が漏れるとセキュリティ事故や情報漏洩につながってしまいますのでルートアカウントにはMFAをしっかり設定しておきましょう!

・・・MFAって何よ

しれっと何の説明もなくルートアカウントにMFAを設定しようと言っていますが、そもそもこのMFAとは何か、について説明します。
MFAは、Multi-Factor Authentication の略称です。
読んだそのままの意味ですが、
Multi(=多くの)-Factor(=要素) Authentication(=認証つまり認証の要素を多くしよう、ということです。多要素認証とも呼ばれます。

手順に入る前の下準備

手順に入る前に、下記の条件を満たしているか確認しましょう。

  1. 設定したいAWSアカウントにルートアカウントでログインできること
  2. スマホを持っていること
  3. スマホにアプリを入れられる環境であること

アプリのインストールに少々時間がかかるので、先に入れておきましょう。

MFAに利用するアプリのインストール

MFAに何を利用するか、いくつか選択肢があります。1つはこれから解説するアプリを利用する方法、その他に物理的なデバイスやテキストメセージを利用する方法があります。
今回はiOS版 Authy というアプリを利用して多要素認証を行います。
アプリなのでPCにも対応していますが、認証に利用するデバイスを分けたいのでアプリ版をおすすめします。

AWSアカウントにログイン

まずはログイン。
こちらのURLにアクセスします。

認証画面が出るので、表示されている通りに入力し「次へ」をクリックします。
※ マスクしているので空白にしています。

自分のルートアカウントに登録したメールアドレスが表示されるので、その下にあるログインパスワードの入力をして「サインイン」をクリックします。

無事にログインができましたでしょうか。

設定をしよう

無事にAWS管理コンソールにログインができました。さっそく設定をしていくのですが、MFAはIAM(AWSのサービスであるIdentity and Access Managementの略称、アイアムと読むことが多いです)というメニュー画面から設定をします。IAMについてはまた別の記事で紹介させていただきます。
管理コンソール左上の「サービス」を開き、検索窓に「IAM」と入力してIAMメニューへ移動します。

「ルートアカウントのMFAを有効化」のタブを開き、「MFAの管理」をクリックします。

「多要素認証(MFA)」のタブを開き、「MFAの有効化」をクリックします。

今回はアプリをMFAデバイスとするため、「仮想MFAデバイス」を選択し「続行」をクリックします。

QRコードをアプリで読み取るため「QRコードの表示」をクリックします。

事前にインストールした Authy を立ち上げ、画面右下の「Add Account」をクリックし、管理コンソールに表示されているQRコードをスキャンします。

スキャンをするとアプリ内にアカウントが追加されますので、追加されたアカウントをクリックすると、上記の画面の通り6桁の数字が表示されるのが確認できます。

表示されている6桁の数字は30秒ごとに新しい数字が表示されますので、管理コンソールに2つの6桁の数字を入力し、「MFAの割り当て」をクリックします。

以上で設定は完了です。画面遷移しますので「閉じる」をクリックすると、管理コンソールに登録されたことが確認できます。

試してみよう

それではさっそくMFAでログインをしてみましょう。管理コンソールの右上のアカウント名をクリックし、ログアウトします。

ログイン画面が出るので、パスワードを入力し「サインイン」をクリックします。

すると、先ほどは出なかった認証画面が現れます。

アプリに表示されている認証コードを入力して「サインイン」ができるようになります。
動作確認は以上です。

まとめ

いかがでしたでしょうか。
今回は、AWSのルートアカウントにアプリを使用して多要素認証の設定をする手順について、iOSのAuthyを使って解説をしました。その他のアプリを使った認証についても動作を確認していきたいと思います。
「多要素認証は正直めんどくさい」と思う方も多いのではないかと思いますが。が、繰り返しますがこのAWSのルートアカウントに対しては必須要件です。大きなセキュリティ事故につながらないためにも必ず設定をしておきましょう。また、ルートアカウントに限らずこれから作成するIAMユーザについても同様にMFAの設定をおすすめします。(AWS公式が推奨しています)

以上です。

コメント

タイトルとURLをコピーしました