あしざわです。
現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。
AWS What's newブログ、AWS Blogの両方で発表されています。
概要
本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります!
AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。
AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでPasskeyのみのログインにも対応するかも、楽しみですね。
Passkeys can be used to replace passwords. However, for this initial release, we choose to use passkeys as a second factor authentication, in addition to your password. The password is something you know, and the passkey is something you have.
やってみた
IAMユーザーにPasskeyを登録して、Passkeyを利用したAWSアカウントログインができるか試してみます。
今回の検証では私が普段利用している、1passwordにPasskeyを登録します。
はじめに、コンソールログイン可能なIAMユーザーを作成します(ログインだけが目的なので付与するIAMポリシーはReadOnlyAccessとしています)
作成したIAMユーザーのセキュリティ認証情報欄にて、MFAデバイスの追加を選択します。
パスキーまたはセキュリティキーを選択します。
パスキーを作成すると、画面右上に1passwordのSave Key画面が表示されるため、Saveを選択します。
パスキーが登録できたら、マネジメントコンソールをログアウトして、パスキーでログインできるか試してみます。
(セキュリティ認証情報のコンソールサインインのURLからアクセスすると楽です)
いつものIAMユーザーログインと同じで、AWSアカウントID、ユーザー名、パスワードを入力します
※パスワードなしでログインできると思いきや、パスワードなしだとバリデーションで弾かれました。
ログインすると、追加の認証が必要という画面とともに1passwordのSign in with a passkeyのポップアップが表示されます。
1passwordの認証を行うと、マネジメントコンソールにログインできました。(初回ログイン時は画像2枚目の初期パスワードからの変更画面に遷移しますが、パスワード変更後の2回目以降は不要です)
さいごに
AWS re:Inforce 2024のKeynoteの発表で、IAMユーザー等のログインにPasskeyが対応したため、早速試してみました。
現状はパスワードなしでログインできるようになっているわけではないため、従来通りパスワードの管理はしっかりしましょう!
以上です。
157
