IAMの多要素認証でYubiKeyが利用できるようになりました
はじめに
中山です
多要素認証、してますか?
本日、IAMの多要素認証でYubiKeyを利用できるようになりました。
YubiKey / Universal 2nd Factor (U2F)とは?
以下の記事にだいたい書いてありますのでこちらをご覧ください。
YubiKeyのいいところ
YubiKeyのいいところとしては以下のような点があります。最高かよ。
- ワンタイムパスワードの入力不要
- 電源不要
- 再同期不要
やってみた
デバイス
今回はたまたま手元にあったYubiKey 4を利用しました。
サポートするデバイスについてはドキュメントをご覧ください。
Amazon.co.jpでも普通に売ってます。
ブラウザ
MFAデバイスの割り当てはマネージメントコンソールで実施しますが、今回はOperaを利用しました。バージョンは以下の通りです。
- 56.0.3051.31
ChromeやFirefoxもサポートされています。 Opera含めて特定のバージョン以上からサポートされています。 サポートしているブラウザはドキュメントでご確認ください。
MFAデバイスの割り当て
IAMユーザーの詳細画面にある「認証情報」のタブを開き、MFAデバイスの割り当てを実施します。
デバイスの種類に「U2Fセキュリティキー」が追加されていますので、これを選択します。
割り当ての流れが表示されますので、YubiKeyをUSBポートに接続します。くるくる回っててまだ先には進めません。
接続後にセキュリティキーのボタンをタップします。すると、Operaの場合にはセキュリティキーの読み取り許可を求めるポップアップが表示されるため、「許可する」をクリックします。
すると、デバイスの割り当てが完了します。
IAMユーザーの詳細画面でも、MFAデバイスの割り当てが完了していることがわかります。
動作確認
動作を確認してみましょう。
一旦ログアウトし、サインインリンクにアクセスしてIAMユーザー名とパスワードを入力します。
すると、2つ目の認証要素としてYubiKeyのタップを要求されます。
タップしたところ、無事ログインできました!
制限事項
YubiKeyの利用ですがいくつか制限があります。
- 現時点ではマネージメントコンソールでの利用のみサポートされています。
- AWS CLIやモバイルアプリではサポートされていません。
- Mobile Environments
- AWS CLI and AWS API
- 一つのIAM Userに1つのMFAデバイスしか設定できません。
- 従来のMFAデバイスとの併用はできません。
- マネージメントコンソール以外で利用する場合は従来のMFAデバイスの利用を継続しましょう。
その他
AWSアカウント (root) でも利用可能です。
Enable a U2F Security Key for the AWS Account Root User (Console)
ちなみに、ルートアカウントに割り当てたセキュリティーキーを紛失したり破損した場合には以下の手順でMFAデバイスの割り当てを解除できます。
まとめ
YubiKeyを利用することでログインの際にワンタイムパスワードを入力する必要がなくなりました。また、物理MFAデバイスで発生する再同期や電池の交換などの手間もなくなります。
マネージメントコンソールを利用するケースでのみ利用可能ですが、少しでもストレスになる要素を減らして幸せになりましょう。
現場からは以上です。
