[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce

[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce

念願のIAMのPasskey対応! 現状パスワードなしログインは未サポート、パスワード+Passkeyのみが対応しています。
Clock Icon2024.06.12

あしざわです。

現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。

AWS What's newブログ、AWS Blogの両方で発表されています。

概要

本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります!

AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。

AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでPasskeyのみのログインにも対応するかも、楽しみですね。

Passkeys can be used to replace passwords. However, for this initial release, we choose to use passkeys as a second factor authentication, in addition to your password. The password is something you know, and the passkey is something you have.

やってみた

IAMユーザーにPasskeyを登録して、Passkeyを利用したAWSアカウントログインができるか試してみます。

今回の検証では私が普段利用している、1passwordにPasskeyを登録します。

はじめに、コンソールログイン可能なIAMユーザーを作成します(ログインだけが目的なので付与するIAMポリシーはReadOnlyAccessとしています)

作成したIAMユーザーのセキュリティ認証情報欄にて、MFAデバイスの追加を選択します。

パスキーまたはセキュリティキーを選択します。

パスキーを作成すると、画面右上に1passwordのSave Key画面が表示されるため、Saveを選択します。

パスキーが登録できたら、マネジメントコンソールをログアウトして、パスキーでログインできるか試してみます。

(セキュリティ認証情報のコンソールサインインのURLからアクセスすると楽です)

いつものIAMユーザーログインと同じで、AWSアカウントID、ユーザー名、パスワードを入力します

※パスワードなしでログインできると思いきや、パスワードなしだとバリデーションで弾かれました。

ログインすると、追加の認証が必要という画面とともに1passwordのSign in with a passkeyのポップアップが表示されます。

1passwordの認証を行うと、マネジメントコンソールにログインできました。(初回ログイン時は画像2枚目の初期パスワードからの変更画面に遷移しますが、パスワード変更後の2回目以降は不要です)

さいごに

AWS re:Inforce 2024のKeynoteの発表で、IAMユーザー等のログインにPasskeyが対応したため、早速試してみました。

現状はパスワードなしでログインできるようになっているわけではないため、従来通りパスワードの管理はしっかりしましょう!

以上です。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.