「AWS初心者のしくじり」1Passwordを利用したIAM ユーザの2要素認証設定(MFA)

『最後まで気を抜くな!』 複数のIDやパスワードを管理することができるアプリ「1PassWord」を利用した「仮想MFAデバイス」設定をやってみて、AWS初心者がしくじったことを公開します。
2020.09.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

『最後まで気を抜くな!』 ~~「家に帰るまでが遠足です。 皆さん気を付けて帰りましょう・・・」 小学生の頃、遠足の帰りに教頭先生に言われた言葉を思い出した。~~ そんなしくじりと、その後の試行錯誤の体験です。


 

こんにちは、上山(かみやま)です。 前職では社内のセキュリティに関わる規定やルール、システム開発・導入の際の支援などしており、 AWSなどのクラウド上で構築したサービスについても扱うことが多く、やれ「IPアドレス制限してね」とか、 「2要素認証設定してね」などと言っていましたが、自身で直接設定した経験はゼロ。 そんなAWS初心者が当社で初めてAWSを触った実体験を、同じようにAWS初心者の皆様へほんの少しですが共有できればと思います。

今回のお題:1Passwordを利用した仮想MFAデバイス設定

今回は、複数のIDやパスワードを管理することができるアプリ「1Password」を利用した「仮想MFAデバイス」での設定をやってみます。

参考:MFAとは

AWS上でのMFA(2要素認証)について簡単に説明します。 MFAとは、AWSにログインする際に、通常のログイン情報に加えてさらにもう1つの認証要素(ハードウェアデバイス、仮想MFAデバイス、U2Fセキュリティキーなど)を組み合わせて認証することにより、認証をより強固にするための仕組みです。

設定してみる

「1Password」を利用した「仮想MFAデバイス」の設定手順について簡単に説明すると、 1.「1Password」へAWSマネジメントコンソールへのログイン情報(IDとパスワード)を登録する。 2.さらにそこにMFA設定(ワンタイムパスワード)を追加する。 ということをおこないます。ここでは「1.」は既に出来ているものとします。 また、「2.」のMFA設定の手順についてはこちらを参考にしましたので詳細はこちらをご覧下さい。

【参考記事】1Passwordで2要素認証のワンタイムパスワードを管理する

やってみて困ったこと

「1Password」へMFA設定を追加するためには、設定側であるAWSのQRコードを読み込む必要がありますが、私の環境(Windows10,Chrome)のブラウザ拡張版の「1Password」だとワンタイムパスワードを設定するための小さなQRコードのアイコンが表示されませんでした。

しかし、当社社内に同じような事象が発生した方がいて既に解決方法が判明していました。  ありがとうございます。 解決方法は、PC版の「1Password」でやるです! 「1Password」の画面で無事にアイコンが表示され、QRコードを設定することができました。 設定ができると画面内にワンタイムパスワードが表示されるようになります。

設定中のしくじり

QRコードが読み込めてワンタイムパスワードが表示されたことに安心してしまい、AWS側のMFA画面(仮想MFAの有効化)を設定途中で閉じてしまいました。

「あっ! やっちゃた」と思いすぐにMFA画面を再表示し、「1Password」に表示されている認証コードを設定しました。 ところが、『仮想MFAの有効化』ボタンがアクティブになりません。

原因(なぜ?)

なして、なして? と、少しパニック気味になりつつも考え、原因に気が付きました。 QRコードが変わってしまっていました。

TOTP認証についての説明は割愛しますが、簡単にいうと鍵と鍵穴が異なる状態になっていました。 「1Password」で表示されているワンタイムパスワードは、MFA設定画面を閉じる前の鍵穴(QRコード)と紐づいています。

MFA設定画面を再表示しても別の鍵穴になってしまっているので、「1Password」で表示されている鍵(ワンタイムパスワード)とは紐づきがなく認証できません。

 

あくまでイメージですが、アパートやマンションなどの集合住宅のポストは戸毎に暗証番号が設定され、自分の部屋以外の暗証番号は知らないので間違って他の部屋のポストを開けようとして焦ったことがある方もいるかと思います。今回のしくじりも自ら同じような状況にしてしまいました。

対策(やり直し)

原因に気が付いたので、再度QRコードを読み込んで設定をやり直しました。 手順としては、 1.「1Password」に追加したMFA設定(ワンタイムパスワード)を削除する。 2.もう一度、MFA設定を追加する。 です。 一旦「AWS」と「1Password」を開き直して、落ち着いてもう一度設定を試みました。 設定をやり直すことで、ようやく「仮想MFAの有効化」が出来ました。 ひとまず一安心です。

まとめ

・MFA設定の途中で誤ってMFA画面を閉じてしまった場合は、もう一度やり直す必要があります。 ・文章はよく読んでから落ち着いて実施しましょう。 私と同じようにファミコンソフトを買った時、説明書は読まずに取り合えずやってみるタイプの方は注意して下さい。