たぬき( @tanuki_tzp )です。
みなさん、IAM ユーザーにMFAは設定していますか?
MFA を設定しないと、下記のブログのような不正利用をされ、突然多額の請求が来るかもしれません……。
MFA 設定をして、セキュリティを高めたいところですが、1password の MFA 設定記事が古くなっていたので、最新版をお届けします。
前提
- 今回設定に使用する 1Password のバージョンは、"1Password for Windows 8.10.7"
- AWS アカウントの ID / パスワードは 1Password に登録済み
※ワンタイムパスワードのみ設定したい人は、MFA デバイスの登録時に新規で 1Password のアイテムを作成してください。
設定してみる
1. MFA を設定したいアカウントにログインして、認証情報を確認する
AWS アカウントにログインし、コンソール右上のアカウント名をクリックし、ツリーを表示します。
ツリー内の「セキュリティ認証情報」を選択し、現在ログインしているアカウントの認証情報を表示します。
2. MFA デバイスを設定する
認証情報から、「MFA デバイスの割り当て」を押し、新規で MFA デバイスを登録します。
ちなみに、2022/11 のアップデートで 1 つのユーザーに複数の MFA デバイスを設定できるようになりました。
デバイス名をそれぞれ自由に設定できるようになったため、わかりやすい名前をつけておくのがいいかと思います。
認証の種類は「認証アプリケーション」を選択してください。
QRコードを表示した状態で、AWS 側の操作はストップします。
1Password に移動し、AWS アカウントのアイテムを開き、編集を押します。
編集画面で「+さらに追加」を押すと追加する要素を選べるため、「ワンタイムパスワード」を選択してください。
ワンタイムパスワードが ID / パスワードの下に追加されるので、先ほど表示した QRコードが見える状態で、小さい QRコードのアイコンを押してください。
1password が自動で QRコードをスキャンし、ワンタイムパスワードが設定されるので、そのままアイテムを保存してください。
1password にワンタイムパスワードが表示されるようになったら、AWS コンソールに戻り、30 秒で切り替わる連続した MFA コードを 2 つ入力して「MFA を追加」を押してください。
これで MFA デバイスの追加は完了ですが、最後に一度 AWS アカウントからログアウトし、MFA が正常に設定できているか再ログインをして確認してください。 ID / パスワード認証の後に下記の画面が出て、先ほど設定した MFA デバイスのコードでログインできれば成功です。
終わりに
2016 年の記事に比べ、大幅な手順更新はありませんでしたが、自動で QRコードを判定してくれたり、デバイスの複数登録などのアップデートがありました。
アプリケーションもアップデートされ続けているので、たまに見返してみるのもいいなと思いました。
4
