[初心者向け] IAMユーザーのMFAを1Passwordで設定する方法について

たぬき( @tanuki_tzp )です。

みなさん、IAM ユーザーにMFAは設定していますか？
MFA を設定しないと、下記のブログのような不正利用をされ、突然多額の請求が来るかもしれません……。

MFA 設定をして、セキュリティを高めたいところですが、1password の MFA 設定記事が古くなっていたので、最新版をお届けします。

前提

• 今回設定に使用する 1Password のバージョンは、"1Password for Windows 8.10.7"
• AWS アカウントの ID / パスワードは 1Password に登録済み

※ワンタイムパスワードのみ設定したい人は、MFA デバイスの登録時に新規で 1Password のアイテムを作成してください。

設定してみる

1. MFA を設定したいアカウントにログインして、認証情報を確認する

AWS アカウントにログインし、コンソール右上のアカウント名をクリックし、ツリーを表示します。
ツリー内の「セキュリティ認証情報」を選択し、現在ログインしているアカウントの認証情報を表示します。

2. MFA デバイスを設定する

認証情報から、「MFA デバイスの割り当て」を押し、新規で MFA デバイスを登録します。

ちなみに、2022/11 のアップデートで 1 つのユーザーに複数の MFA デバイスを設定できるようになりました。

デバイス名をそれぞれ自由に設定できるようになったため、わかりやすい名前をつけておくのがいいかと思います。
認証の種類は「認証アプリケーション」を選択してください。

QRコードを表示した状態で、AWS 側の操作はストップします。

1Password に移動し、AWS アカウントのアイテムを開き、編集を押します。
編集画面で「＋さらに追加」を押すと追加する要素を選べるため、「ワンタイムパスワード」を選択してください。

ワンタイムパスワードが ID / パスワードの下に追加されるので、先ほど表示した QRコードが見える状態で、小さい QRコードのアイコンを押してください。
1password が自動で QRコードをスキャンし、ワンタイムパスワードが設定されるので、そのままアイテムを保存してください。

1password にワンタイムパスワードが表示されるようになったら、AWS コンソールに戻り、30 秒で切り替わる連続した MFA コードを 2 つ入力して「MFA を追加」を押してください。

これで MFA デバイスの追加は完了ですが、最後に一度 AWS アカウントからログアウトし、MFA が正常に設定できているか再ログインをして確認してください。 ID / パスワード認証の後に下記の画面が出て、先ほど設定した MFA デバイスのコードでログインできれば成功です。

終わりに

2016 年の記事に比べ、大幅な手順更新はありませんでしたが、自動で QRコードを判定してくれたり、デバイスの複数登録などのアップデートがありました。
アプリケーションもアップデートされ続けているので、たまに見返してみるのもいいなと思いました。