AWSのログインに端末認証を導入してみた

AWSのログインに端末認証（MFA）を導入してみた

MFAを導入してもユーザーの意識やユーザー自体の管理をしていなければそもそも脆弱なんですがこのご時世ですから自分の好きなパスワードだけで管理させてもMFA（Multi-Factor Authentication）を導入している方がセキュアだと思い導入しました。

※AWSマネジメントコンソールのログイン自体も好きなパスワードにさせませんが

今回は新規ユーザー作成する機会があったのでその手順です。

（既存でも手順は新規ユーザー作成の部分の次のステッップからです）

AMIメニューをクリック

サイドメニュー【ユーザー】→【ユーザーを追加】ボタンクリック

新規ユーザーを作成していきます

・ユーザー名の入力

説明の必要なし

・ユーザーの種類を選択

アプリケーションやバッチ、コンソールからの利用想定であればプログラムによるアクセスをチェックをいれて、AWSマネジメントコンソール（AWSのWEB管理画面）にログインするユーザーであればこちらをチェックすればいいと思います。

今回はAWSマネジメントコンソールのみなので

【AWS マネジメントコンソールへのアクセス】

こちらのみにチェック

・コンソールのパスワード

堅めのパスワードであれば自動生成で定期的なパスワードの変更がおすすめです。

お好きなパスワードでもいいですがセキュリティにはご注意を

・パスワードのリセットが必要

私が管理者ならユーザーに好きなパスワードを設定させないです。。

次のアクセス制限ですがここはどんな権限のユーザーを作成したいかなんで用途により様々だと思います。

開発メンバーにはこの権限というポリシーがあるならグループを作成しておいてそのグループにすればいいと思いますし、

すでに作成されているユーザーと同じものを作りたかったら既存のユーザーからコピーすればいいと思います。

どれでもない場合は既存のポリシーを直接アタッチすることになります。

以上を選択してユーザーを作成しましょう。

作成したら一応ログインできるか確認します。

ではMFA設定に入ります。新規作らなくても既存ユーザーがいればここからでOKです。

まずはIAMユーザーメニューからMFA設定したいユーザーを選択します

そのユーザーの認証情報タブを選択すると【サインイン認証情報】の欄に

【MFAデバイスの割り当て】という項目があります

今は”いいえ”になっていると思います

その横の鉛筆マーク（要は編集でしょうね）をクリックすると【MFAデバイスの管理】が開きます

ここから選択ユーザーのMFAデバイスを設定していきます

無料でユーザーの手持ちiPhoneやアンドロイド端末でMFAをしたいなら

【仮想MFAデバイス】

有料ハードウェアやSMS（料金がかかることがある）などは

【ハードウェアMFAデバイス】

を選択することになります

今回は各個人の端末で認証しますので【仮想MFAデバイス】を選択します

※【仮想MFAデバイス】を選択する場合は対象の端末に

・Google Authenticator

・Authy 2 段階認証

のAWS MFA と互換性のあるアプリケーション（2018/01/19現在）をあらかじめインストールしておいてください。

（仮想MFAデバイスを選択した後にこのあらかじめインストールする内容のダイヤログに移動する場合があります）

次のステップに行くとQRが表示されたダイアログに切り替わります

対象の端末にインストールしたアプリでアカウントの追加（今回はGoogle Authenticator）でQR読込み

※QRがないアプリではシークレットキーを手動で入力、でもGoogle AuthenticatorもAuthyもQRありました。

するとそのアカウントの画面（すでに他も設定されている場合は一覧の中の対象アカウントの6桁）で6桁の数値が表示されています。

この6桁を第1認証コードに入力して次に表示される6桁を第2認証コードに入力します。

※2つ認証コードの入力枠があるんですがアプリで2つ同時に発行されるのではなく、はじめに表示された6桁と次に表示される6桁の連続して表示された6桁の入力みたいです。

6桁表示後の次の表示を飛ばし次の6桁を入力してもダメということみたいです。

はじめは入力欄が2つあるのでアプリで同時に2つ発行されるのかと思いましたが違いました。

こちらを入力して【仮想MFAの有効化】をすれば設定は完了です。