本記事ではAWSのルートユーザーにMFAを割り当てる方法とその理由について解説します。この設定を怠ったことで「高額請求が…!」ということもありますので、必ず設定することをお勧めします。
まだAWSアカウントを作成していない方は以下の記事で作成方法を解説していますので、ご確認ください。
ルートユーザーについて
ルートユーザーというのはアカウントを作成したときのユーザーのことで、アカウント作成後はこのルートユーザーしかいません。このルートユーザーは権限が大きすぎるため普段使いのユーザーとしては推奨しません。普段使いするユーザーを新たに作成して、ルートユーザーはMFAを登録するなどセキュリティを高めて、必要な時だけ使用するのがベストプラクティスです。
ルートユーザーにMFAを割り当てる
MFAについて
MFAとはMulti-Factor Authentication の略で日本語では多要素認証といいます。MFAはユーザ名とパスワードのほかに新たな認証要素を加えることによってセキュリティを高めます。
今回は、スマートフォンのワンタイムパスワードを発行するアプリを認証要素に加えます。こうすることで、このアプリを入れているスマートフォンがないとログインできないようになり、仮にパスワードが流出しても、不正ログインを防ぐことができます。
この説明を聞いてもよくわからないという方も実際にやってみると理解できると思うので、実際にやってみましょう。
Google Authenticatorインストール
Google Authenticatorとは上で述べたワンタイムパスワードを発行するアプリです。
ほかにもいろいろ種類がありますが、今回はこちらを使用します。
インストールは以下のリンクを使用するか、各ストアでGoogle Authenticatorと検索してください。
インストールが完了したら、まだ起動しなくて大丈夫です。
セキュリティ認証情報画面に遷移
①ルートユーザーでAWSにサインインしてください。
②下の画面に遷移するので、画面右上のアカウント名をクリックしてください。
③クリックするとタブが広がるので、赤枠の「セキュリティ認証情報」をクリックしてください。
MFAを割り当てる画面に遷移
赤枠の「MFAを割り当てる」をクリックする。
MFAデバイスを選択
①先ほどGoogleAuthenticatorを入れた端末を識別できる名前を半角英数字で入力してください。「MySmartPhone」など自分がわかる名前で大丈夫です。
②「認証アプリケーション」を選択してください。
③「次へ」をクリックしてください。
認証デバイスの設定
①QRコードを表示をクリックしてQRコードを表示させてください。
②先ほどGoogleAuthenticatorをインストールした端末で、GoogleAuthenticatorを起動してください。
初回起動の場合は以下のような画面が最初に表示されると思うので、QRコードをスキャンを選択してください。
カメラに切り替わったら、QRコードを読み取ってください。
読み取りが完了すると6桁の数字が表示されていると思うので、それを「MFAコード1」に入力してください。30秒くらい待つと6桁の数字が変わるので変化後の数字を「MFAコード2」に入力してください。
(ここで重要なのは2つの数字が連続していることなので、QRコードを読み取った直後の数字ではなくて大丈夫です。)
③「MFAを追加」をクリックしてください。
認証デバイス登録確認
以下のような画面が表示されていて、多要素認証(MFA)にデバイスが登録されていれば登録が完了しています。
サインイン確認
実際にもう一度サインインしてみて、多要素認証が設定されているか確認します。
サインアウト
もう一度サインインするためにサインアウトします。
サインアウト方法は、画面右上のアカウント名をクリックして、サインアウトをクリックしてください。
MFAサインイン
いままでと同じようにサインインすると下の画面に遷移します。
ここでGoogleAuthenticatorを開いて、表示されている6桁の数字を「MFAコード」に入力してください。
こうすることで、事前に多要素認証を登録した端末を持っている人しかサインインすることができなくなり、セキュリティを高めることができます。
まとめ
本記事ではAWSアカウント作成後にやるべきこととして、ルートユーザーにMFA認証を登録する方法を解説しました。ほかにも設定すべき項目がありますが、次の記事で説明いたします。
今回の記事では、MFAを登録する理由と、実際にどのようにセキュリティを高めているのかを理解していただけたら嬉しいです。それでは。
コメント