![[アップデート] マルチパーティ承認で一部のオペレーションリクエストの承認時にワンタイムパスワード検証が必要になりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-2eddd7f989fa67416ea2d27b4223cc32/8f5b157eb82ee11cc288225119e0c290/aws-organizations?w=3840&fm=webp)
[アップデート] マルチパーティ承認で一部のオペレーションリクエストの承認時にワンタイムパスワード検証が必要になりました
いわさです。
AWS Organizations の機能に「マルチパーティ承認」という機能があります。
一部の機能(本日時点では論理エアギャップボールトのアクセスリクエストのみ)を使う際に、IAM Identity Center ユーザーで構成された特殊なチームメンバーで承認を行うことで要求されたリクエストを承認することが出来ます。
先日のアップデートで、メンバーでリクエストの承認を行う際に、一部のリクエストでワンタイムパスワード検証が必要になりました。
ドキュメント上明記されていなかったのですが、すべてのアクションではなくてチーム構成の変更など、一部のリクエストが対象みたいです。
使ってみたのでその様子を紹介します。
チームへの参加
マルチパーティ承認機能で新規チームを作成し、ユーザーを招待してみましょう。
招待されたユーザーは承認ポータルから「承諾」オペレーションをすることができます。
承諾ボタンを押すと、次のようにワンタイムパスワードの検証を行うダイアログが表示されます。
この時点ではコードがまだ送信されていないので、以下の「コードを送信」ボタンを押しましょう。
そうすると次のようにポータル上で操作した対象ユーザーにメールが送信されます。
こちらを検証コードに入力し、「招待を承諾」ボタンを押しましょう。
もしここでコードを再送信ボタンを押すと、新しいワンタイムパスワードが送信され、以前送信されたワンタイムパスワードは無効になります。
チームの変更
例えば次のようにチームに3名アサインされていて、新しくユーザーをアサインしてみます。
次のように既存のチームメンバーで承諾を行う必要があります。
この場合もオペレーションリクエストの承認にワンタイムパスワードの検証が必要です。
論理エアギャップボールトからのリクエストアクセス割り当ての削除
マルチパーティ承認で作成したチームは AWS Backup の論理エアギャップボールトに割り当てることができます。
ボールトアクセスをリクエストした時やチームの割り当てを解除した時にはワンタイムパスワードなしで承認ボタンを押すことができます。
よくわからないですが、ワンタイムパスワードが必要な場合と不要な場合がありますね。
おそらくですが、アナウンスの内容からするとチームの認証体制に変更があるような場合はワンタイムパスワード検証が必要なのだと推察しています。
さいごに
本日はマルチパーティ承認で一部のオペレーションリクエストの承認時にワンタイムパスワード検証が必要になっていたので確認してみました。
なお、本機能は自動で有効化されており、無効化はできません。
まだマルチパーティ承認機能を使っている方は私の周りでは多くないのですが、ワンタイムパスワードの検証が必要になったということを覚えておきましょう。
