AWSのルートユーザーにMFAを設定しよう
目次
はじめに
お疲れ様です。わったんです。
先日MiyarhiraがAWSアカウントの作成記事を執筆してくれました。
この記事に関連して、AWSアカウントを作成時のセキュリティ対策であるMFAについて説明します。
最後まで記事を読むとMFAを設定して、アカウントのセキュリティを向上させるスキルが身に付きます。
ルートユーザーとは?
ルートユーザーとは初めてAWSアカウントを作成したさいの何でもできるユーザーです。
AWSアカウントにはルートユーザーとIAMユーザーの2種類があります。
今回はルートユーザーでMFAを設定します。
設定を始める前にルートユーザーでログインしているか確認しましょう。
セキュリティ認証情報画面からルートユーザーかを判別できます。
コンソールのホーム>右上の自分のアカウント名>セキュリティ認証情報
「セキュリティ認証情報(ルートユーザー)」と記載があればルートユーザーでログインしています。
MFAの設定をしていなければ警告文が表示されます。
MFAとは?
MFA(Multi-Factor Authentication)とは多要素認証のことです。
多要素認証には知っている、持っている、特徴の3要素があります。
下記の表から2つ以上を組み合わせて認証することによりセキュリティが向上します。
パスワードと携帯電話を組み合わせてMFAを設定します。
| 要素 | 例 |
|---|---|
| 本人のみ知っていること | ・パスワード ・PINコード ・秘密の質問 |
| 本人のみ持っている物 | ・携帯電話 ・ハードウェアトークン ・ICカード |
| 本人の特徴 | ・指紋 ・静脈 ・声紋 |
なぜMFAが必要か?
ルートユーザーは何でもできてしまうので、悪い人にIDやパスワードといったログイン情報を知られてしまうと悪用されて高額請求される可能性があります。
MFAを設定すればスマートフォンアプリの認証コードが無ければログインできないようになります。
これによりアカウントのセキュリティを向上させることできます。
MFAの設定方法
MFAを設定していきます。
事前にスマートフォンにGoogle認証システムのアプリをインストールしておいてください。
MFAを割り当てるをクリック
セキュリティ認証情報の画面から「MFAを割り当てる」をクリックします
MFAデバイス名の登録
デバイス名はスマートフォン上での名前にもなるので、
お使いの端末に合わせてわかりやすい登録名にしてください。
例えばroot_iphone12_mini等です。
このような登録名しておけばあとでスマートフォンを見たときにこの情報がルートアカウントであり、使用している端末も一目でわかります。
また最初から認証アプリケーションが選択されていると思いますが、念のために再度確認してください。
確認が終わったら次へで進みます。
デバイスの設定
②の項目でQRコードを表示をクリックするとQRコードが表示されます。
QRコードをスマートフォンのGoogle認証システムのアプリから読み取らせます。
アプリ上に時間の経過とともに変化する6桁の数字が表示されます。
一つ目の数字を「MFAコード1」に登録します。
続けて数字が変化したら、2つ目の数字を 「MFAコード2」に登録します。
PC画面上の「MFAを追加」をクリックします。
MFAが設定されたことを確認
設定が完了すると緑色の帯に割り当て済みMFAデバイスと表示されます。
また多要素認証(MFA)の項目の識別子にさきほど登録したデバイス名が表示されていれば設定完了です。
実際にログインしてみよう
一度アカウントからログアウトして再度ログインしてみてください。
認証コードの入力が求められるようになっているはずです。
おわりに
いかがでしたでしょうか?
簡単にルートユーザーにMFAを設定できたと思います。
AWSの利用をはじめたら必ずMFAを設定するようにしましょう。
またルートユーザーは何でもできてしまうので、普段は作業用のIAMユーザーを作成しましょう。
IAMユーザーの作り方はまた次回ご紹介させて頂きます。
最後までご覧頂きありがとうございます。
関連記事
-
AWS BackupはS3のバージョニング構造ごと復元するか -
AWSで認証・認可について学ぶ -
MediaLiveとMediaStoreで動画配信する(後編)