AWS #0001 rootアカウントのMFA有効化

Cloud

前回はAWSコンソールへログイン出来るように初期登録を行うところまで行いました。

今回からAWSコンソールを使用して様々なAWSサービスを利用していくための入門編として継続していこうと思います。

今回は前回の記事で作成されたAWSアカウントに初期登録されるrootユーザについて、セキュリティ設定の強化を行いたいと思います。

AWSアカウント利用開始直後は、ユーザー名とパスワードだけでログインが出来てしまいます。

クレジットカードが登録された状況化において、万が一、第3者にパスワードを知られ勝手にAWSリソースを使われてしまうことが無いように強固な対策を行うということに触れていきたいと思います。

AWSではIdentity and Access Management (以降、IAMと略します。)という機能を使って設定を行います。

では、具体的に見て行きましょう。

早速AWSコンソールにアクセスし、サービスから「IAM」を探し、クリックします。

画面上部の入力欄に「IAM」と入力すると、検索結果の候補がリストされますので、その中から「IAM」をクリックします。

IAMダッシュボード画面が表示されます。

画面上にセキュリティに関するレコメンデーションに赤いマークが表示されていると思います。

rootユーザのMFAを追加すると書かれた右側のボタン「MFAを追加」をクリックします。

セキュリティ認証情報画面が表示されます。

青いボタン「MFAを有効化」をクリックします。

MFAデバイスの管理ウィンドウが表示されます。

MFAはハードウェアキーのものもあれば、スマートフォンなどのアプリで提供されているものもあり、自身で用意出来るものを選択します。ここではスマートフォンアプリで利用する仮想MFAデバイスを選択し、「続行」ボタンをクリックします。

仮想MFAデバイスの設定ウィンドウが表示されます。

記載されている設定手順の通りすすめます。まず始めにウィンドウ内にあるリンク「互換性のあるアプリケーションのリスト」を確認します。

まず手持ちのスマートフォンのストアから対象のアプリを検索し、アプリをインストールします。

スマートフォンにインストールされたアプリを起動し、QRコードの読み取り画面を開きます。

その後、AWSコンソールの仮想MFAデバイスの設定ウィンドウ画面に表示されている「QRコードを表示」をクリックし、QRコードを表示します。

表示されたQRコードをスマートフォンのアプリから読み取ると、数字の羅列が表示されるようになります。

AWSコンソールの仮想MFAデバイスの設定ウィンドウ画面に表示されているMFAコードを入力します。

スマートフォンのアプリで表示される文字の羅列は一定時間で変更される仕組みになっています。

仮想MFAデバイスの設定ウィンドウに入力するMFAコードは連続する文字列を入力することになります。詳しく説明します。

スマートフォンに表示されている文字列をMFAコード1に入力します。

スマートフォンの表示が変更されるまで待ちます。

スマートフォンに表示される文字列が新しいものに変更されたら、表示された新しい文字列をMFAコード2に入力します。

このとき、MFAコード1とMFAコード2は2回連続して表示された文字列をそれぞれ入力欄に入れることになるのですが、MFAコード1を入力中に、スマートフォンアプリにて2回以上文字列が更新された場合(1つめの更新を見逃してしまった場合)、MFAコード2は入力せず、MFAコード1を上書き入力し、スマートフォンアプリで次の文字列が表示されるまでまってから、MFAコード2を入力する必要があります。

入力完了後、「MFAの割当」ボタンをクリックします。

無事に仮想MFAデバイスの設定が完了しましたので、「閉じる」をクリックします。

続いて、MFAが正しく機能することを確認するため、一度AWSコンソールからサインアウトします。

AWSコンソールの画面右上にアカウント名が表示されているボタンがありますので、クリックし、表示されたプルダウンメニューから「サインアウト」をクリックします。

AWSマネジメントコンソールのトップページが表示されますので、画面右上のボタン「コンソールへサインイン」をクリックします。

サインイン画面が表示されますので、ルートユーザのEメールアドレスを入力し、「次へ」をクリックします。

セキュリティチェック画面が表示されます。表示された文字を入力欄に入力し、「送信」をクリックします。

ルートユーザサインイン画面が表示されますので、ルートユーザのパスワードを入力し、「サインイン」ボタンをクリックします。

多要素認証画面が表示されますので、MFAコードをスマートフォンアプリで確認した文字列をMFAコードの入力欄に入力し、「送信」ボタンをクリックします。

MFAデバイスの登録が正常に行われて居る場合には、AWSコンソールが表示されます。

これで無事にMFAデバイスを有効化出来たことが確認できました。パスワード設定だけの場合よりもセキュリティ設定を強固にすることが出来ました。

次回以降、AWSリソースを作るための準備を進めていこうと思いますので、記事が更新されるまで少しお待ちください。

コメント

タイトルとURLをコピーしました