テックブログ

AWS IAMユーザに複数の多要素認証を設定してみる

こんにちは。技術部のsです。

先日、AWSのIAMユーザに複数のMFAデバイスが登録できるようになりました!

AWS Identity and Access Management で複数の多要素認証 (MFA) デバイスのサポートを開始
https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-identity-access-management-multi-factor-authentication-devices/

You can now assign multiple MFA devices in IAM
https://aws.amazon.com/jp/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/

1つのユーザに対して、FIDO セキュリティキーやTOTP認証(ワンタイムパスワード)も含め

最大で8つのMFAデバイスを登録することができます。

ログインするときは、いずれか1つのデバイスで認証を行えればOKです。

以前弊社のブログでもMFAデバイスの登録方法について紹介させていただきました。
https://www.netassist.ne.jp/techblog/13605/

基本的にはこちらの記事の方法と変わりませんが、
MFAごとに名前を付けることにより、区別します。

では実際に設定してみましょう。

上記の記事では、IAMの管理画面から設定しておりましたが、
ホーム画面の「セキュリティ認証情報」から確認することも可能です。

※googleの認証システムを利用する想定で設定しました。

「多要素認証(MFA)」にある MFA割り当て をクリックします。

便宜上、すでに1件登録した状態で2つ目を設定する要件で進めます。

名前を適当に入力して、「続行」をクリックします。

登録が完了すると、下記のポップアップが表示されます。

前回と違う文言になっていますね。
最大8つのMFAデバイスが登録できるとの記載です。

再度「セキュリティ認証情報」の画面に戻ると
この通り、2つ目のデバイスが登録されています。

認証を行う端末の冗長化を行っている場合や離れた地域で同じIAMユーザを利用する場合、
今まではQRコードが発行されたら、画面を閉じる前に設定を行わないといけなかったり
QRコードをスクショして共有する・・なんて方法を取っていましたが
こういった手間がなくなり、管理しやすくなりますね。

また、CloudTrailで「MFAIdentifier」というパラメータが追加されています。

追加したMFAを利用してログインしたところ、イベント履歴の「ConsoleLogin」に
下記の記録が残りました。(一部情報を伏せています。)

"additionalEventData": {
    "LoginTo": "https://console.aws.amazon.com/console/home**************",
    "MobileVersion": "No",
    "MFAIdentifier": "arn:aws:iam::************:mfa/na_shin_2",
    "MFAUsed": "Yes"
},

どのMFAでログインしたか確認ができるので
不正にログインしてきたデバイスの特定が可能となります。

AWSアカウントへのMFAの設定は「セキュリティベストプラクティスの1つ」と公式からも
案内がありますので、ぜひ利用してみてもらえればと思います。

最後までご覧いただきありがとうございました。

この記事をシェアする

  • facebook
  • twitter
  • hatena
  • line
URLとタイトルをコピーする

実績数30,000件!
サーバーやネットワークなど
ITインフラのことならネットアシストへ、
お気軽にご相談ください