初めてAWSアカウントを取得したら、まずはAWSアカウントのセキュリティを強化しましょう。万が一AWSアカウント情報が漏洩してしまった場合の次の防衛線となります。ここでは「多要素認証」の設定方法について説明していきます。
初出:2020年8月25日、更新:2020年10月5日
多要素認証の全体の流れ図となります。スマホ等へのMFAアプリのインストールは設定作業の前に行ってもさしつかえありません。
「AWSマネジメントコンソール」から「IAM」メニューを開きます。 「セキュリティステータス」 から「ルートアカウントのMFAを有効化」を選択します。
「ルートアカウントのMFAを有効化」から「MFAの管理」を選択します。
「セキュリティ認証情報」の「多要素認証(MFA)」から「MFAの有効化」を選択します。
「MFAデバイスの管理」でMFAデバイスを選択します。 その他のデバイスは専用機器での設定となります。通販サイトなどで購入可能です。
「仮想MFAデバイスの設定」で「QRコードの表示」を選択し、QRコードを表示します。このQRコードは誤って、仮想MFAデバイスのアプリやアカウントを削除してしまった場合に再度、設定するための情報となりますので、念のためバックアップとして画面キャプチャで保存しておくようにしてください。
スマートデバイスに「仮想MFAデバイス」をインストールします。仮想MFAデバイスを起動したら、認証に使用するアカウントを作成するため「設定を開始」を選択します。
ここでは仮想MFAデバイスとしてスマートフォンに下記の仮想MFAアプリをインストールして設定する方法について説明します。アプリの詳細についてはアプリ提供サイトなどを参照ください。
仮想MFAアプリ:GoogleAuthenticator(Google 認証システム)
Google 認証システムにより、スマートフォンで 2 段階認証プロセスのコードが生成されます。2 段階認証プロセスは、ログイン時に 2 つ目の確認手順を求めることで Google アカウントのセキュリティを強化するものです。パスワードに加えて、スマートフォンの Google 認証システム アプリによって生成されたコードも必要になります。
Google Play,Google LLC,ツール,
画面の下部の「バーコードをスキャン」を選択し、「AWSマネジメントコンソール」が表示された画面を読み取ります。QRコードを表示、仮想MFAデバイスでバーコードをスキャンします。
画面が切り替わり「認証システム」の下に6桁(3桁で二組)の数字が表示されます。これを「AWSマネジメントコンソール」の「仮想デバイスの設定」画面の「MFAコード1」に6桁を入力します。さらに続けて仮想MFAデバイスに表示される数字6桁を「MFAコード2」に入力します。入力したら「MFAの割り当て」を選択します。
下記の画面が表示されればMFAの設定は完了です。
セキュリティ認証情報画面に戻ると、「多要素認証(MFA)」に仮想デバイスが追加されます。
設定が完了したら、いったんログアウトして。再度ログインしてみましょう。
「AWSマネジメントコンソール」のログイン画面を開きます。ここでは「ルートユーザー」へログインする例で説明します。ルートユーザのアカウントを入力して次の画面に進みます。
「MFAコード」の入力が求められるので、先ほど設定した仮想MFAデバイスを起動して、該当するアカウントの認証コード(空白を抜いて、6桁)を入力します。仮想MFAデバイスには複数のMFA対象アカウントを登録できます。入力したら、MFAコードがタイムアウトしないうちに「送信」ボタンをクリックします。
正しくコードが入力されれば「AWSマネジメントコンソール」が表示されます。
万が一ルートアカウント情報が漏洩した場合は不正利用で高額請求が発生したという話もよく聞ききます。この設定で少しは安心できそうです。次は利用料金が高額となる前にアラームを出せる(らしい)「 AWS Budgets」の設定に取り組んでみる予定です。
次の記事