IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました

お疲れさまです。とーちです。

IAM に複数の MFA デバイスを割り当てる事ができるようになったというアナウンスを見たので試してみました。

かんたんまとめ

• AWS アカウントのルートユーザーや IAM ユーザーに最大８つの MFA を割り当てられる
• ログインするときには割り当てられた中のどれか一つの MFA を使ってログイン

さっそく試してみた

適当な IAM ユーザーを用意してどんな動きになるのかを確認してみました。 まずは MFA の設定をします。MFA の設定方法は従来と変わらず、AWS マネージメントコンソールの IAM 画面から登録をしていきます。

2022/11/17 追記：
MFA の設定方法について従来と変わらずと記載しておりましたが、正確には従来と異なり MFA の名前をつける必要があります。
またこの名前については、AWS アカウント内で一意※１である必要 があり、例えば IAM ユーザー A と IAM ユーザー B に対して同じ名前の 仮想 MFA を登録することは出来ません。

※１ 一つの AWS アカウント内の仮想 MFA 間で名前の重複が出来ないことを確認しております。仮想 MFA とハードウェア MFA で同じ名前をつけることは出来るかもしれませんが、手元にハードウェア MFA がないので確認は出来ておりません。

１つめの MFA が登録できました。従来ですと、１つしか MFA を登録できませんでしたが、アップデートにより更に MFA を追加できるようになっています。 ２つめの MFA も同様の手順で追加します。

2 つめの MFA を登録しました。以下のように２行 MFA が存在しています。

下の画面は実際に MFA を複数登録した IAM ユーザーでログインした際の MFA 入力画面です。てっきり登録した全ての MFA のコードを入力するのかと思っていたのですが、ログインする際に入力する MFA コードは登録した MFA の中のどれか一つになります
今回２つの仮想 MFA を登録したのですが、どちらの 仮想 MFA のコードを使ってもログイン出来ることが確認できました。

使いどころ

さて、この新しい機能の使いどころなんですが、AWS ブログには以下のようなユースケースが書いてありました。

• MFA デバイス紛失等で１つめの MFA デバイスが使えなくなった場合に２つめの MFA デバイスを使えば、AWS アカウントの回復手順を実行せずにログインできる
• 地理的に分散したチームでもそれぞれのチームに個別のハードウェア MFA デバイスを割り当てログインできる（※アカウントのルートユーザー等の一つのユーザーを複数人で共有するようなケースを想定していると思います）

AWS アカウントを管理していた人が退職し、アカウントのルートユーザーにアクセス出来なくなった、なんて話は聞いたことがあるので、そういったことが起きないように ルートユーザーアカウントだけでも複数 MFA を登録しておき、片方はハードウェア MFA デバイスにして会社の金庫等に保管しておくという使いみちはアリかなと思いました。
一方、MFA を追加するということは管理すべき認証情報を増やしてしまうということなので、安易に追加せず必要なところにだけこの機能を使うのがいいのかなと思います。

CloudTrail のログについて

なお、こちらのアップデートに伴いログインした際に残る CloudTrail のイベント履歴に"MFAIdentifier"という項目が追加されています。 この項目によりどの MFA を使ってログインしたかが判別できるので、MFA デバイス紛失時等に紛失したデバイスを使ってログインされてないかを確認することはできそうです。

    "additionalEventData": {
        "LoginTo": "https://console.aws.amazon.com/console/home?*************",
        "MobileVersion": "No",
        "MFAIdentifier": "arn:aws:iam::********:mfa/test1",
        "MFAUsed": "Yes"
    },

まとめ

MFA デバイスの複数割り当てに関するアップデートについてお伝えしました。 使いどころはありそうな機能なので、機会があれば活用してみたいと思います。

以上、とーちでした。