みなさん、こんばんは。サニービュー事業部の小寺です。
AWSアカウントにログインされるときにMFA利用されていますか。
実は昨年11月からAWSルートユーザーとIAMユーザで複数の多要素認証(MFA)デバイスがサポートされるようになっていました。
デバイスが破損した場合でも、回復させることは以前検証済ではありますが、複数デバイスを登録する方法も試してみました。以前、デバイス破損からMFAデバイス復活させたときの過去記事はこちら。
このアップデートにより、ユーザーあたり最大 8 個の MFA デバイスを追加することができます。
これには FIDO セキュリティキー、仮想認証アプリケーションを使用したソフトウェアタイムベースドワンタイムパスワード (TOTP)、ハードウェア TOTP トークンが含まれます。複数のデバイスを設定することで、デバイスを紛失または破損した場合に、またはグローバルチームでのアクセスを管理する場合に、柔軟性が向上します。
やってみた
(1)AWSアカウントにルートアカウントでログインします。
(2)ヘッダー右側アカウントメニューから「セキュリティ認証情報」を選びます。
(3)既にMFAデバイスは割り当て済ですが、「MFAデバイスの割り当て」をクリックします。
(4)「デバイス名」を入れる欄が出てきました。
そういえば、最近MFA設定のときに、デバイス名の入力求められるのはなぜだろうか?と何となく考えていましたが、複数デバイスが登録できるからでした。ここで疑問が解決・・。
デバイス名を入力して「次へ」をクリックします。
(5)いつものデバイス設定の画面が表示されます。ここではGoogle Authenticatorを利用して、QRコードから登録を行いました。
(6)以下の通り2つのデバイスが設定された状態となっています。
アップデートのメリット
デバイス破損などを気にしなくてよくなった点や特にルートアカウントが1つしか設定できなかった時代、会社用の専用デバイスで
設定して持ち出しがされないように厳重管理していました。
何かルートアカウントでしか作業できない場合は出社必須になっていたので、そういった運用面では便利ですよね。
ここからは私見ですが、どのデバイスを使って誰がログインして作業しているのかは、モニタリングしておきたいので、どのデバイスを使っていたか?までを
追跡する設定を追加していきたいと思います。
対象リージョン
AWS GovCloud (米国) リージョン、Sinnet が運営する AWS 中国 (北京) リージョン、NWCD が運営する AWS (寧夏) リージョンを除くすべての
AWS リージョンで使うことができます。