この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。
ワンタイムパスワードや多要素(MFA)認証の重要性は知っているけど、面倒で設定していないって方は多いのでないでしょうか。
しかし、AWSアカウントを乗っ取られたら、事態を収拾するために何十倍もの労力が必要になります。アカウントの乗っ取りリスクを低減するために、AWS IAMで多要素(MFA)認証を有効化しましょう。
この記事では、設定の仕方を紹介していきます。
AWSアカウントの多要素(MFA)認証を設定しよう
■多要素認証とは
多要素(MFA)認証をする前に、多要素認証について調べてみました。
ID・パスワードなどの「知識情報」および、「所持情報」「生体情報」という認証の3要素の中から、2つ以上の異なる認証要素を用いて認証する方法。野村総合研究所より
AWSでは、多要素認証はセキュリティのベストプラクティスとして強く推奨されています。
知識情報であるパスワードと、所持情報である認証コード生成アプリで多要素認証を簡単に実現可能です。テスト済みの認証アプリケーションとして、以下のアプリケーションを挙げています。
| Operating system | Tested authenticator app |
|---|---|
| Android | Authy, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator |
| iOS | Authy, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator |
■なぜ多要素認証が必要?
ユーザーに割り当てられている権限次第ですが、アカウントを乗っ取られた場合、EC2やECSのインスタンスが立てられたり、逆に削除・停止されます。
EC2やECSが立てられたら高額請求につながり、削除・停止された場合稼働中のシステムが止まります。恐ろしいですね。乗っ取りのリスクを少しでも低減するために、多要素認証を有効化しましょう。
■AWSでの多要素(MFA)認証の設定方法
AWSでの多要素認証の設定方法を説明していきます。
簡単に設定できるので、"あとでやろう"と思わず、いますぐに行いましょう。
わたしは"Google Authenticator"を利用しているので、"Google Authenticator"を使って説明していきます。
↓まずはAWSコンソール画面にログインし、右上のアカウント名をクリックします。
↓[セキュリティ認証情報]をクリックします。
↓[MFAを割り当てる]、もしくは[MFAデバイスの割り当て]を押してください。
↓
↓[MFAデバイス名の指定]で[デバイス名]を入力し、[MFAデバイスを選択]で[認証アプリケーション]を選択肢し、[次へ]をクリックします。
↓[認証アプリケーションを設定]で[QRコードを表示]を押します。スマホにインストールしたアプリを起動し、QRコードをスキャンしましょう。
↓
↓スキャンが成功すると6桁のコードが表示されますので、[MFAコード1]と[MFAコード2]を順に入力します。2つコードを入力しましたら、[MFAを追加]をクリックしてください。
多要素(MFA)認証の有効化は以上です。簡単ですよね。
サインアウトして、ログインしようとすると、以下のような認証画面が表示されます。アプリを起動し、コードを入力しましょう。
設定は以上です。
まとめ:作業用IAMユーザーが払い出されたらMFAを有効にしよう
多要素(MFA)認証は面倒で設定していないって方も、この機会に設定しましょう。
アカウントを乗っ取られたら、MFA認証を有効化にする労力の比ではない苦労が待っています。
AWSアカウント、IAMユーザーを手に入れたら、必ず多要素(MFA)認証を有効化しましょう!
参考リンク:AWS公式ドキュメント
↓ほかの協栄情報メンバーもAWS IAMに関する記事を公開しています。ぜひ参考にしてみてください。
■特定IAMユーザに特定のタグが付与されたCloudWatch Logsのみ参照を許可する IAM ポリシー(小林 剛)
https://cloud5.jp/log-access-control-with-tag/
■IAMロールを簡単に解説【使い方・構築例あり】(齊藤弘樹)
https://cloud5.jp/saitou-iamrole/
■AWS API GatewayのIAM認証をSigV4署名(Python)で作成(INAMURA)
https://cloud5.jp/iam_authorization/