トップ > AWS > AWSアカウントの2段階認証を設定する
最終更新日

AWSアカウントの2段階認証を設定する

AWS 2段階認証

もうどこからアカウント情報が漏れるかわかりませんからね。昨年GitHubの2段階認証の設定をしたように、今回はAWSのアカウントにも施したいと思います。特にルートアカウント。

認証方法

詳しくはAWSの「多要素認証」のページに書かれていますが、実質的にスマホアプリか専用のデバイスを用いることになります。

仮想 MFA アプリケーション

要はスマホのアプリで認証するタイプ。 Google認証とAuthy2、WindowsPhone用の「認証システム」に対応しているようです。

OS アプリ
Android Google認証 / Authy2
iOS Google認証 / Authy2
WindowsPhone 認証システム

U2F セキュリティキー

物理的な認証デバイスとの連携にも対応しているようです。 USBポートに差し込んで指紋を読み取らせるだけで、ワンタイムパスワード的な物が発行されログインできる便利なやつですね。興味のある方はAmazonからも購入できるのでどうぞ。

Yubico FIDOセキュリティキー NFC - FIDO U2F/FIDO2/USB-A ポート/NFC/2段階認証/高耐久性/耐衝撃性/防水 Keychain

Yubico FIDOセキュリティキー NFC - FIDO U2F/FIDO2/USB-A ポート/NFC/2段階認証/高耐久性/耐衝撃性/防水 Keychain

  • ユビコ(Yubico)
Amazon

SMS MFA

新規受付はすでに終了したそうです。また既存ユーザーも2019年1月31日で提供終了とのこと。がーん。本命だったのに(´・ω・`)

認証アプリをインストール

今回はAndroidを日常使いしているのでGoogle認証を利用します。

play.google.com

AWSの設定

ブラウザでの操作

ルートユーザーでログインします。

右上のメニューから「セキュリティ認証情報」をクリック

要約すると「チュートリアルする?」と聞いてくるので、右上の「×」をクリックして閉じます。

「他要素認証」のアコーディオンを開き、「MFAの有効化」ボタンをクリックします。

認証方法を聞いてきますので、設定したい物を選びます。ここではGoogle認証アプリを使いますので「仮想 MFA デバイス」を選択しました。

スマホに認証アプリのインストールが完了したら、「QRコードを表示」をクリックし、QRコードを表示します。

アプリでの操作

QRコードを表示させたら、Google認証アプリを起動し、「開始」ボタンをクリック。

「バーコードをスキャン」を選択し、ブラウザに表示されているQRコードを読み取ります。

QRコードが正常に読み取られると、以下のように6桁の数字が表示されます。この状態でブラウザでの作業に戻ります。

ブラウザでの操作

QRコードが表示されているウィンドウを下にスクロールすると、認証コードの入力が求められます。先ほどアプリ上に表示された6桁の数字を入力します。以下のキャプチャ画像では同じ数字を入力していますが、実際には異なる値を入れてください。

  • 半角数字
  • アプリ上では真ん中にスペースがありますが、入力時にはスペースを入れる必要はありません

アプリでは1つしか表示されてないのに、2つ入れろ!?と一瞬混乱しますが、1つ目を入力後にカーソルを2つ目の入力欄に合わせ、しばらく待つとアプリ側の数字が新しい物に切り替わりますので、こいつを2つ目として入力してやります。

最後に「MFAの割り当て」ボタンをクリックすると以下のような画面になります。

最初のページで以下のように表示されていれば登録が正常に完了しています。もしも端末を変更したい、MFAの設定を解除したい場合はここで設定を行うことになります。

エラーメッセージ

ちなみにですが、「MFAの割り当て」ボタンをクリック後、以下のように「アクセス権限が必要です」と表示された場合は、認証コードの入力が間違っています。ルートでログインしてるんだが…と混乱するメッセージですが、一度コーヒーでも飲んで落ち着いてから再度入力してください。

動作チェック

本当に正常に設定されているか、一度サインアウトし確認します。 ルートアカウントでログインを試みます。

メールアドレスとパスワード入力後に、このように確認コードの入力画面になっていれば成功です。スマホのアプリを起動して数字を入れましょう。

スマホが壊れたら?

Google認証アプリの場合、スマホが紛失ないし壊れたり、アプリを誤って削除してしまうとそのままでは2度とログインできません。こういった自体のために他のサービスだとリカバリーコードなどが発行され大切に保管せよと言われますが、AWSの場合はちょっと異なります。

メールアドレスと電話によるリカバリ

以下の確認コードの入力画面で「認証デバイスに問題がありますか?」リンクをクリック

唐突の英語w! 「Sign In Using Alternative Factors」ボタンをクリックし、画面の支持に従います。このあとメールアドレスと電話番号での認証が始まり、無事に通過すればManagementConsoleへログインできます。

ログイン後は速やかにMFAの設定を見直しましょう。さらに詳しい手順が知りたい場合は以下のページを。 docs.aws.amazon.com

電話番号の確認を

というわけで、MFAの設定をしたあとはメールアドレスと電話番号の確認をしておくことを強くおすすめします。

確認するには右上のメニューから「アカウント」をクリック。

「アカウント設定」でメールアドレス、「連絡先情報」で電話番号の変更ができます。

参考ページ

aws.amazon.com

ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
posted with amazlet at 19.01.03
IPUSIRON
翔泳社
売り上げランキング: 313
Amazon.co.jpで詳細を見る
- Sponsored Link -
関連記事

katsube

コメントを書く