うさがにっき

読書感想文とプログラムのこと書いてきます

MFAを使ってAWSに二段階認証を実現する

概要

最初に作ったアカウントはルートアカウント
linuxとかと同じようにルートアカウントにID/PASSだけだと、乗っ取られた時すべての権限が奪われてセキュリティ的によろしくない
そこでMFA(Multi-FactorAuthentication)を使って二段階認証をつける

詳細

MFAを利用するには認証コードを発行するデバイスが必要になる、これをMFAデバイスという

MFAデバイスについて

MFAデバイスには仮想MFAデバイスとハードウェアMFAデバイスがあり、ハードウェアMFAではGemalto社から発売されている物理デバイスを購入する必要がある。
仮想MFAはスマートフォン用のアプリを使うことが多い。
セキュリティ的にはハードウェアMFAを使ったほうがいいが、基本的には仮想MFAデバイスで十分

今回は仮想MFAである、Google Authenicatorを使う
Google 認証システム - Google Play の Android アプリ

MFAの設定

Identity and Access Managementを選択
f:id:tiro105:20150526232354p:plain

表示されているセキュリティステータスはセキュリティ上この設定は行うべきという指針
二番目のルートアカウントのMFAを設定する
f:id:tiro105:20150526232411p:plain

MFAの管理をクリック
f:id:tiro105:20150526232427p:plain

仮想MFAデバイスを選択し次のステップへ
f:id:tiro105:20150526232442p:plain
f:id:tiro105:20150526232459p:plain

QRをよみとり、認証コードを入力して設定を完了
f:id:tiro105:20150526232513p:plain

これで設定完了、サインアウトしてログインしてみると認証コードを入力する画面が増えている
スマホに表示されている認証コードを入力
f:id:tiro105:20150526232553p:plain

ルートアカウントにMFAを設定できたことにより、セキュリティステータスが更新された
f:id:tiro105:20150526232622p:plain

メニューが日本語化されたことによりだいぶわかりやすくなりましたね
次はIAMユーザ、グループを作成して同じようにMFAを設定する

参考

Amazon Web Services パターン別構築・運用ガイド

Amazon Web Services パターン別構築・運用ガイド