AWSアカウント作ったらまずやっておくべきこと!(MFA編)

IT

はじめに

まず、アカウントを作ったらやっておかなくてはいけないのは、
作成したAWSアカウントのセキュリティ管理です。

というのも、作ったばかりのAWSアカウントはセキュリティが厳しくないので、
のっとられるリスクがあります。

AWSは元々のセキュリティが高いので即座に奪われることはないと思いますが、
セキュリティ関連の対策はやっておいて損をすることはありません!

簡単に済むことの多いので確実にやっておきましょう。

ルートアカウントのセキュリティ強化

それでは、ルートアカウントのセキュリティ強化して行きましょう。
実施することは2つです。

・ルートアカウントのMFA有効化
・使用中のスマートフォンにGoogleAuthenticatorをインストール

ルートアカウントのセキュリティ強化の方法として、「MFAの有効化」があります。
このMFAというのは、「Multi-Factor Authentication」の略で、日本語で言うと多要素認証という意味になります。
簡単に言えば、通常のメールアドレス、パスワードだけではセキュリティとして心許ないので、
もう1つ錠をつけて「パスワード + α」の複数の要素で認証するという感じですね。

そこで錠となるのがMFAで、鍵が「GoogleAuthenticator」となります。
このアプリをスマートフォンにインストールすることで、ルートアカウントに対してワンタイムパスワードを発行できるようになります。

ポイント

つまり、ルートアカウントにログインするときは、あなたが知っているメールアドレスとパスワードに加えて、
スマートフォンがないとアクセス出来なくなるので、セキュリティが強化されるということですね。

では、実際に設定していきましょう。

  1. IAMマネジメントコンソールにアクセスする

    さて、まずはIAMマネジメントコンソールにアクセスしましょう。

    ルートアカウントを使って、AWSマネジメントコンソールにログインします。
    ログインURLは下記です。

    ▪️ログインURL
       ”https://console.aws.amazon.com/”

    ログインしたら、画面上部のサービスからIAMを選択して、IAMマネジメントコンソールに行きましょう。

  2. ルートアカウントのMFAを有効化する

    アクセスしたら、ルートアカウントのMFAを有効化していきます。
    画面中央あたりの「ルートアカウントのMFAを有効化」をクリックして、出てきた「MFAの管理」を押しましょう。

    MFAの管理画面に遷移すると下記の画面のようにセキュリティ注意の画面が出ます。

    MFAの有効化を行うためにルートアカウントを使用しているので、セキュリティ的に常用は危険であることを注意してくれています。
    アクセスレベルを限定したIAMユーザーは既に「1.IAMユーザーの作成」を実施した方なら作成済みなので、
    「Continue to Security Credentials」を押してこの画面を閉じましょう。

    セキュリティ認証情報の画面に移りますので、「MFAの有効化」を押します。

    MFAデバイスの管理画面に遷移したら、「仮想MFA」デバイスにチェックを入れて、次へ行きましょう。

    この仮想MFAデバイスというのがスマートフォンを利用して、管理するという意味合いになります。
    U2FセキュリティーキーやハードウェアMFAの方がよりセキュリティ強度が高いのですが、
    物理的なMFAデバイスを購入しなくては行けないのでハードルが高いです。

    仮想MFAでもセキュリティとしては十分なので、企業等セキュリティ監査が厳しいところ以外では問題ないです。

    出てきたQRコードをGoogleAuthenticatorで読み込みましょう。
    まだインストールされてない方は下記のURLからダウンロードしてください。

    ■アンドロイド
    https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

    ■iPhone
    https://apps.apple.com/jp/app/google-authenticator/id388497605

    読み込むとアプリには6桁の数字が出ているはずなので、まず認証コード1に入れます。
    次に大体30秒待つと次の数字が出てくるので、新しい数字を認証コード2に入れましょう。

    この時、AWSとスマートフォンのGoogleAuthenticatorで数字をリフレッシュするタイミングも同期させているので、
    2つ目の数字が出たら直ぐに入力して、「仮想MFAの有効化」を押してください。
    そのまま放置して、時間が経ってから次へ進むと認証出来なくなることがあります。

    有効化が正常に完了すると以下のような画面が出てきます。
    これでMFAの有効化は完了です。

  3. GoogleAuthenticatorを使ってMFA認証する

    ルートアカウントのMFAが有効化されたら、実際にGoogleAuthenticatorを使ってルートアカウントにログインしてみましょう。
    以下のURLからマネジメントコンソールにのログイン画面に行きます。

    ▪️ログインURL
       ”https://console.aws.amazon.com/”

    マネジメントコンソールのURL ここで、AWSに登録したあなたのメールアドレスとパスワードを入力してください。

    パスワードを入力して、ログインしようとすると今回からは追加でMFAデバイスに表示されるワンタイムパスワードの入力を求められます。
    GoogleAuthenticatorに表示される6桁の数字を入力して「送信」を押すとログインできます。

    これでルートアカウントのMFA有効化が完了です。
    次回以降のログインには必ず登録したスマートフォンが必要となりますのでお気をつけください。

  4. MFAデバイスの不具合

    もし、登録したスマートフォンを破損や紛失した場合は、
    ログイン画面のMFAコードの入力画面から「MAFのトラブルシューティング」に行きましょう。

    トラブルシューティングの画面では、MFAコードを使用しない代替のログイン方法が提供されます。
    別の認証要素を使用したサインイン」を選択しましょう。

    代替ログインまでには3ステップの認証があります。
    まずは、AWSに登録しているメールアドレスによる本人認証です。
    「確認Eメールの送信」を押すとメールアドレス宛に、認証要求のメールが送信されます。

    送信されきたメールアドレスにて、「AWS Email Verification」という件名でメールが届きます。
    15分以内に「Verify your email address」を押しましょう。


    これでメールアドレスでの本人認証が完了しましたので、次のステップに進みます。
    メールアドレス認証の次は、電話番号による本人認証です。

    「Call me now 」を押すことでAWSから電話がかかってきますが、自動音声なので気負わずに押してしまいましょう。
    電話に応答すると英語で「画面に表示されている6桁の数字をキーパッドで入力してくれ」といわれるので、
    「Call me now 」を押した後に表示される6桁の数字を入力しましょう。

    正しい数字を入力すると自動的に電話が切れて、ステップ3に遷移してくれます。
    これで全ての認証が完了したので、「Sign in to the console」で自身のアカウントにログインできます。

    コンソールにログインすると、「セキュリティ認証情報」の画面に行くことができます。
    ここで、破損や紛失したMFAデバイスの情報を削除して、ルートアカウントにログインするようにできます。
    削除したいMFAデバイスの登録情報で、「管理」を押しましょう。

    削除か再同期が選択できますので、破損や紛失の場合は「削除」を選択して、MFAデバイスの登録情報を消しましょう。

    これでMFAデバイスの紛失や破損時の対応完了です。
    ルートアカウントにログインするときも、MFAコードを求められなくなるので、
    通常のパスワードだけでログインできます。

    機種変更で引継ぎを忘れたときもこれで安心ですね。
    ただし、削除した状態はセキュリティが甘い状態なので、できるだけ早く再MFA有効化をしてくださいね。

まとめ

AWSで最も権限が強いルートアカウントにMFAを有効かすることができました。
これでお持ちのスマートフォンがなければ、アカウントにはログインできなくなるので安心です。

AWSは使った分だけ使用量を請求されるので、
いつの間にか知らないリソースを使われまくって高額請求が来るなんてこともありえるので、
セキュリティ管理にはかなり気をつけましょう。
アカウントIDや登録しているEメールアドレスなどの情報も公開してはいけません。

簡単に使用できるものだからこそ、きちんと使っていきましょうね。

 

コメント

タイトルとURLをコピーしました