【AWS】ルートアカウントのMFA有効化をやってみた【IAMベストプラクティスへの道】

in japanese •  5 years ago  (edited)


こんにちは、こもDです。

AWSにアカウントを作成したのですが、AWSの公式HPでは、アカウントに直接ログインして操作するのではなく、“IAM(Identity and Access Management)”というユーザ作成から権限付与までできるサービスで使用して、用途に応じたユーザを作成し、そのユーザに最低限の権限を付与することを推奨しています。

今回は、そのIAMのベストプラクティスの初期段階である、ルートアカウントの設定の中のアカウントのMFA有効化をしていきます。

ルートアカウントで設定すべき項目


ルートアカウントでログインし、IAMのダッシュボードを確認すると以下のようにセキュリティステータスが表示されます。


セキュリティステータスには、

・ルートアクセスキーの削除
・ルートアカウントのMFAを有効化
・個々のIAMユーザの作成
・グループを使用したアクセス許可の割り当て
・IAMパスワードポリシー

の5項目があります。

ルートアカウントを作成した直後は、アクセスキーは作成していないのでルートアクセスキーの削除のステータスは完了になっています。

これらの項目のステータスを全て完了にすると初期設定は終了です。

今回は、ルートアカウントのMFAの有効化を行っていきます。

 

ルートアカウントのMFAを有効化


まず、MFAとはMulti-Factor Authenticationの略のことで、多要素認証を意味します。

要はワンタイムパスワード有効にすることです。

設定しているパスワードとは別に、デバイスから発行される6桁の数字も用いてログインします。

手順はとても簡単で、

  1.   デバイスの準備

  2.   マネジメントコンソールでデバイスの登録
を行えばOKです。

では、早速やっていきましょう。

1.デバイスの準備


デバイスはハードウェアデバイス仮想デバイスがあります。

ハードウェアデバイスは自身で購入しなければならないので、今回は仮想デバイスを使用します。

仮想デバイスはGoogle Authenticatorというアプリをスマホにインストールし、使用しました。

‎Google Authenticator

‎Google 認証システムを Google アカウントの 2 段階認証プロセスで使用して、ログイン時のセキュリティを強化できます。 2 段階認証プロセスでは、アカウントへのログイン時にパスワードと確認コードの両方が必要になります。このアプリでは確認コードを生成でき、一度設定すればネットワーク接続や携帯電話回線を利用していない場合でも確認コードを受け取ることができます。 主な特長は次のとおりです: - QR コードによる自動設定 - 複数アカウントのサポート - 時間ベースとカウンタベースのコード生成のサポート Google 認証システムを使用するには、お使いの Google アカウ...

Google 認証システム - Google Play のアプリ

Google 認証システムはスマートフォンで 2 段階認証プロセスのコードを生成します。 2 段階認証プロセスでは、ログイン時に 2 段階の確認を求めることで Google アカウントのセキュリティを強化します。パスワードに加えて、スマートフォンの Google 認証システム アプリによって生成されたコードも必要になります。 2 段階認証プロセスについて詳しくは、https://g.co/2step をご覧ください。 機能: * データ接続なしで確認コードを生成 * Google 認証システムは多くのプロバイダとアカウントに対応 * Android Wear に対応 * 「ダーク」テーマを追加 * QR コードによる自動設定 権限に関する注意事項: カメラ: QR コードを使用してアカウントを追加する際に必要です

 

2.マネジメントコンソールでデバイスの登録


次にマネジメントコンソールからIAMダッシュボード上に表視されている以下の画面が表示されます。


「MFAの管理」をクリック

すると


このような画面が出てきますが、これは無視で。(×押しちゃってください)。

 


その後、上記の画面が出てきますので、「MFAの有効化」をクリック

 


デバイス選択画面が出てくるので、「仮想MFAデバイス」を選択し、続行をクリック

 


ここでGoogle Authenticatorを使用します。

Google AuthenticatorからQRコードをスキャンし、アカウント追加をします。

アカウントを追加すると6桁のワンタイムパスワードが出てくるので、そのパスワードをMFAコード1の欄に入力します。

しばらくすると、アプリに表示されているワンタイムパスワードの値が変わるので、変わった値をMFAコード2の欄に入力し、「MFAの割り当て」を押下します。


“仮想MFAが正常に割り当てられました”という上記の画面が出てきたら完了です。

IAMのダッシュボードに戻ると

 


ルートアカウントのMFAを有効化のステータスが完了になりました。

これでMFAの有効化設定は完了です。

次回以降ルートアカウントにログインする際はパスワードを入力後、以下のようにMFAコードの入力も要求されます。


 

 

今回はルートアカウントのMFAの有効化を行いました。

残りの3つは別記事で解説していきたいと思います。

 

Posted from my blog with SteemPress : http://komodblog.com/awsiam_mfa/

japanese blog newbie jp-newbie steempress
5 years ago by

Downvoting a post can decrease pending rewards and make it less visible. Common reasons:

  • Disagreement on rewards
  • Fraud or plagiarism
  • Hate speech or trolling
  • Miscategorized content or spam

Submit
$0.03
  • Past Payouts $0.03
  • - Author $0.02
  • - Curators $0.01
5 votes
1
Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  
  • Trending
    • [-]
      ·  5 years ago 

    Congratulations @kmdryo! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :

    You distributed more than 50 upvotes. Your next target is to reach 100 upvotes.

    You can view your badges on your Steem Board and compare to others on the Steem Ranking
    If you no longer want to receive notifications, reply to this comment with the word STOP

    To support your work, I also upvoted your post!

    Vote for @Steemitboard as a witness to get one more award and increased upvotes!

    Downvoting a post can decrease pending rewards and make it less visible. Common reasons:

    • Disagreement on rewards
    • Fraud or plagiarism
    • Hate speech or trolling
    • Miscategorized content or spam

    Submit
    $0.00