AWSアカウントへ多要素認証 (MFA) を導入する

公開： 2017年10月1日
更新： 2017年11月4日

カテゴリ： AWS
タグ： AWS,IAM,MFA,Authy,GoogleAuthenticator

AWSアカウントを作成したら、すぐにでもEC2やRDSを立ち上げて色々とやってみたい衝動に駆られますが、ここはぐっとこらえて、まずは初期設定を行いましょう。セキュリティの面でも、はじめの一歩を堅実に踏み出すことが大事です。ここでは、AWSアカウントを作成した直後から、行っておきたい初期設定を紹介します。

rootアカウントへ多要素認証 (MFA) の導入

rootアカウントというのは、作成したAWSアカウントの事です。
AWSマネジメントコンソールへは、メールアドレスとパスワードのみでログインができてしまうのが現状です。
この場合、なりすましによってログインされてしまえば、勝手に自分のアカウントを使われてしまうなどのリスクが生じます。
そこで、多要素認証を導入して、よりセキュアに、セーフティにアカウント運用を行っていくことが大切です。
無料なので是非設定しておきたいところです。

多要素認証 (MFA) とは？

多要素認証 (MFA = Multi-Factor Authentication、多段階認証・二段階認証ともいう) とは、通常のログインに加え、モバイル端末などを使い、認証用のコードを受信し、そのコードを入力する事でログインが完了する仕組みの事です。
仮にログインに必要なメールアドレスとパスワードが漏れてしまった場合でも、予め登録した端末でも認証を行う必要があるので、アカウントを乗っ取られない。という利点があります。

多要素認証の為のアプリをインストールする

AWSアカウントの多要素認証を導入する場合には、持っているスマートフォンへアプリをインストールする必要があります。
（キーデバイスによる認証もありますが、有料）
AWSのMFAページから詳細を確認できますが、 iPhoneやAndroidの場合は、「Google Authenticator」もしくは「Authy」というアプリをインストールする事で多要素認証を導入できます。

Google Authenticator

Authy

色々と調査した結果、「Authyの方が、スマホを機種変更などをした際にも移行がスムーズであり、かつ、複数端末でアカウントを共有出来るみたいなので、サブ機にも入れておけば尚、安心。」という結論に至ったので、私はAuthyをインストールしました。

多要素認証を導入する場合、アプリを入れている端末を紛失したり、機種変の際にアプリのアカウントを解除しなかったりなどすると、たちまち認証が行えなくなるのでAWSにログインできなくなり、かなり痛い事になりかねません。
セキュリティを強化する一方で、「自滅」というリスクを背負う事になるのですが笑、そのリスクを少しでも解消できる道をと考えて、複数端末でアカウントを共有出来るAuthyを選択しました。
インストールの細かい手順はここでは割愛しますが、難しい事は何もないので、この先に進む前に、アプリのインストールとアカウントの作成を行っておいてください。（出来ればサブ機にも入れましょう。私はiPhoneとiPadにインストールして共通のアカウントを設定しました。）