AWS #0001 rootアカウントのMFA有効化

前回はAWSコンソールへログイン出来るように初期登録を行うところまで行いました。

今回からAWSコンソールを使用して様々なAWSサービスを利用していくための入門編として継続していこうと思います。

今回は前回の記事で作成されたAWSアカウントに初期登録されるrootユーザについて、セキュリティ設定の強化を行いたいと思います。

AWSアカウント利用開始直後は、ユーザー名とパスワードだけでログインが出来てしまいます。

クレジットカードが登録された状況化において、万が一、第３者にパスワードを知られ勝手にAWSリソースを使われてしまうことが無いように強固な対策を行うということに触れていきたいと思います。

AWSではIdentity and Access Management (以降、IAMと略します。)という機能を使って設定を行います。

では、具体的に見て行きましょう。

早速AWSコンソールにアクセスし、サービスから「IAM」を探し、クリックします。

画面上部の入力欄に「IAM」と入力すると、検索結果の候補がリストされますので、その中から「IAM」をクリックします。

IAMダッシュボード画面が表示されます。

画面上にセキュリティに関するレコメンデーションに赤いマークが表示されていると思います。

rootユーザのMFAを追加すると書かれた右側のボタン「MFAを追加」をクリックします。

セキュリティ認証情報画面が表示されます。

青いボタン「MFAを有効化」をクリックします。

MFAデバイスの管理ウィンドウが表示されます。

MFAはハードウェアキーのものもあれば、スマートフォンなどのアプリで提供されているものもあり、自身で用意出来るものを選択します。ここではスマートフォンアプリで利用する仮想MFAデバイスを選択し、「続行」ボタンをクリックします。

仮想MFAデバイスの設定ウィンドウが表示されます。

記載されている設定手順の通りすすめます。まず始めにウィンドウ内にあるリンク「互換性のあるアプリケーションのリスト」を確認します。

まず手持ちのスマートフォンのストアから対象のアプリを検索し、アプリをインストールします。

スマートフォンにインストールされたアプリを起動し、QRコードの読み取り画面を開きます。

その後、AWSコンソールの仮想MFAデバイスの設定ウィンドウ画面に表示されている「QRコードを表示」をクリックし、QRコードを表示します。

表示されたQRコードをスマートフォンのアプリから読み取ると、数字の羅列が表示されるようになります。

AWSコンソールの仮想MFAデバイスの設定ウィンドウ画面に表示されているMFAコードを入力します。

スマートフォンのアプリで表示される文字の羅列は一定時間で変更される仕組みになっています。

仮想MFAデバイスの設定ウィンドウに入力するMFAコードは連続する文字列を入力することになります。詳しく説明します。

スマートフォンに表示されている文字列をMFAコード１に入力します。

スマートフォンの表示が変更されるまで待ちます。

スマートフォンに表示される文字列が新しいものに変更されたら、表示された新しい文字列をMFAコード２に入力します。

このとき、MFAコード１とMFAコード２は２回連続して表示された文字列をそれぞれ入力欄に入れることになるのですが、MFAコード１を入力中に、スマートフォンアプリにて２回以上文字列が更新された場合（１つめの更新を見逃してしまった場合）、MFAコード２は入力せず、MFAコード１を上書き入力し、スマートフォンアプリで次の文字列が表示されるまでまってから、MFAコード２を入力する必要があります。

入力完了後、「MFAの割当」ボタンをクリックします。