話題の記事

IAMの多要素認証でYubiKeyが利用できるようになりました

2018.09.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

中山です

多要素認証、してますか?

本日、IAMの多要素認証でYubiKeyを利用できるようになりました。

Sign in to your AWS Management Console with YubiKey Security Key for Multi-factor Authentication (MFA)

Use YubiKey security key to sign into AWS Management Console with YubiKey for multi-factor authentication

YubiKey / Universal 2nd Factor (U2F)とは?

以下の記事にだいたい書いてありますのでこちらをご覧ください。

Yubikey入門

YubiKeyのいいところ

YubiKeyのいいところとしては以下のような点があります。最高かよ。

  • ワンタイムパスワードの入力不要
  • 電源不要
  • 再同期不要

やってみた

デバイス

今回はたまたま手元にあったYubiKey 4を利用しました。

サポートするデバイスについてはドキュメントをご覧ください。

U2F Devices Supported by AWS

Amazon.co.jpでも普通に売ってます。

ブラウザ

MFAデバイスの割り当てはマネージメントコンソールで実施しますが、今回はOperaを利用しました。バージョンは以下の通りです。

  • 56.0.3051.31

ChromeやFirefoxもサポートされています。 Opera含めて特定のバージョン以上からサポートされています。 サポートしているブラウザはドキュメントでご確認ください。

Browsers That Support U2F

MFAデバイスの割り当て

IAMユーザーの詳細画面にある「認証情報」のタブを開き、MFAデバイスの割り当てを実施します。

デバイスの種類に「U2Fセキュリティキー」が追加されていますので、これを選択します。

割り当ての流れが表示されますので、YubiKeyをUSBポートに接続します。くるくる回っててまだ先には進めません。

接続後にセキュリティキーのボタンをタップします。すると、Operaの場合にはセキュリティキーの読み取り許可を求めるポップアップが表示されるため、「許可する」をクリックします。

すると、デバイスの割り当てが完了します。

IAMユーザーの詳細画面でも、MFAデバイスの割り当てが完了していることがわかります。

動作確認

動作を確認してみましょう。

一旦ログアウトし、サインインリンクにアクセスしてIAMユーザー名とパスワードを入力します。

すると、2つ目の認証要素としてYubiKeyのタップを要求されます。

タップしたところ、無事ログインできました!

制限事項

YubiKeyの利用ですがいくつか制限があります。

  • 現時点ではマネージメントコンソールでの利用のみサポートされています。
  • AWS CLIやモバイルアプリではサポートされていません。
  • Mobile Environments
  • AWS CLI and AWS API
  • 一つのIAM Userに1つのMFAデバイスしか設定できません。
  • 従来のMFAデバイスとの併用はできません。
  • マネージメントコンソール以外で利用する場合は従来のMFAデバイスの利用を継続しましょう。

その他

AWSアカウント (root) でも利用可能です。

Enable a U2F Security Key for the AWS Account Root User (Console)

ちなみに、ルートアカウントに割り当てたセキュリティーキーを紛失したり破損した場合には以下の手順でMFAデバイスの割り当てを解除できます。

MFA デバイスの紛失および故障時の対応

まとめ

YubiKeyを利用することでログインの際にワンタイムパスワードを入力する必要がなくなりました。また、物理MFAデバイスで発生する再同期や電池の交換などの手間もなくなります。

マネージメントコンソールを利用するケースでのみ利用可能ですが、少しでもストレスになる要素を減らして幸せになりましょう。

現場からは以上です。