AWS MFAとは？使用方法6つやAWSMFAの機能・デバイスをご紹介

AWSとは

AWSには、多くのサービス機能が付いています。今回はAWS内のサービスの１つ、AWS MFAについて解説していきます。 この記事でAWS MFAの理解を深め、活用していけるよう是非ご覧下さい。まずは、AWS MFAを解説する前にAWSについて簡単に解説していきます。 アマゾンウェブサービス (AWS) は、世界でとても多くの企業に広く採用されているクラウドプラットフォームです。 世界中にあるデータセンターから175以上のフル機能のサービスを提供しているとても便利なサービスです。

AWS MFAとは？

AWS MFAとは、Multi-Factor Authentication（MFA）多要素認証のことで、AWSリソースを保護するための機能です。 AWSウェブサイトやサービスにアクセスするときに通常のログイン認証情報とは別に、AWSでサポートされているMFAメカニズムの認証情報を求められるので、AWS MFAを使用します。

AWS MFA6つの使用方法

AWS MFAを使ってみたい、使い方を知りたい方のために、AWS MFAの使用方法について解説していきます。 AWS MFAの主な使用方法を6つ紹介します。参考になるかと思いますので是非ご覧ください。

デバイスの有効化

AWS MFAでは、有効化できるデバイスは、AWSアカウントのあるルートユーザーまたはIAMユーザーごとに1つのみとなります。 IAMユーザーは、AWSマネジメントコンソール、AWS CLI、またはIAM APIから有効になります。また、IAM U2Fセキュリティキーを使用するユーザーは、AWSマネジメントコンソールからのみ有効になります。 アカウントルートユーザーは、AWSマネジメントコンソールからのみ有効になります。

ステータスのチェック

ステータスをチェックするには、まずはIAMコンソールを開きます。 次に、ナビゲーションペインを開き、Usersを選択し、USERSテーブルをMFA列に追加します。そして、右端のテーブルで、設定アイコンを選択します。 その後、Manage Columns(列の管理)にあるMFAを選択します。ユーザーテーブルに表示しない列の見出しのチェックボックスをオフにして、最後にClose(閉じる)を選択すれば完了です。

仮想およびハードウェアMFAデバイスの再同期

AWS IAMユーザーの仮想または、ハードウェアMFAデバイスが同期されていない場合、そのデバイスを再同期することができます。デバイスを使用するときに、そのデバイスが同期されていないと、サインインが失敗してしまいます。 その場合、ルートユーザーMFAデバイスが動作していない時には、IAMコンソールを使用してルートユーザーMFAデバイスを再同期できます。

デバイスの無効化

デバイス無効化の操作方法するには、まずAWSマネジメントコンソールにサインインします。 次に、ナビゲーションペインを開きユーザーを選択します。 MFAを持つユーザーの名前を選択し、MFAデバイスを非アクティブ化または、削除するMFAを持つユーザーの名前を選択します。 Security credentialsタブを選択し、Assigned MFA device(割り当て済みのMFAデバイス)の横で、管理を選択します。 MFAデバイスの管理ウィザードで、順番にMFAデバイスの無効化を選択し、 次のステップを選択します。そうすると、デバイスはAWSから削除が完了します。 そのデバイスは再び有効化され、関連付けられるまでAWSユーザー、AWSアカウントまたはルートユーザーサインインやリクエストの認証で使用できません。

デバイスの紛失および故障時の対応

AWS MFAでは、AWSアカウントのルートユーザーがMFAデバイスを無くしたり、破損したり、機能しなくなった場合でもアカウントへのアクセスするための回復手段があります。 その方法ですが、IAMユーザーからデバイスを非アクティブ化するよう、管理者にアクセス回復を依頼してください。

WFA保護とAPIアクセスの設定

AWS MFAでは、IAMポリシーを使用して、呼び出すAPIオペレーションを指定できます。 ユーザーは重要なアクションを実行できますが、その前にAWS多要素認証(MFA) でユーザー認証を求められます。その場合、追加のセキュリティが必要となることもありますので注意が必要です。

AWS MFAの4つの機能

今までの解説でAWS MFAの特徴や使用方法は理解して頂けたと思います。 しかしAWS MFAは沢山の機能があり、できることも多いので、AWS MFAについてもう少し詳しく見ていきましょう。 AWS MFAには、仮想多要素認証 (MFA) デバイスとしても使用できます。続いては、仮想多機能デバイスで使える機能を解説していきます。主な機能としては、4つあります。

仮想MFAデバイス

仮想MFAデバイスとは、電話などの物理デバイスでエミュレートする ソフトウェアアプリケーションです。 仮想MFAデバイスは、使用する際 6桁の数値コードを生成します。 まずは、デバイスから取得したコードを2番目のウェブページに入力します。割り当てられた各仮想MFAデバイスは一意であることが必要です。 また、別のユーザーの仮想MFAデバイスからではコードを入力しても認証されません。セキュリティ保護されていないモバイルデバイス上でも実行できるため、仮想MFAはセキュリティ面でU2FデバイスやハードウェアMFAデバイスに劣る場合があります。 ですから、ハードウェアの購入承認が完了する、またはハードウェアが到着するまでの間のみ、仮想MFAデバイスを使用しましょう。

U2Fセキュリティキー

U2Fセキュリティキーとは、AWS MFAの物理デバイスの一つで、コンピュータのUSBポートに接続するデバイスです。 FIDO Allianceが運用しているオープン認証規格それが、U2Fセキュリティキーです。こちらのデバイスはユーザーが購入する物理デバイスです。 U2Fセキュリティキーを有効にすると、サインインするときにコードの認証情報を入力してデバイスをタップするだけになります。

ハードウェアMFAデバイス

ハードウェアMFAデバイスは、AWS MFAの物理デバイスの一つです。 使用方法は仮想MFAデバイスと同じで、仮想MFAデバイスと同じようにパスワードを習得する必要があります。 コチラのデバイスもユーザーでの購入が必要となります。違いは、仮想MFAデバイスよりセキュリティ面で優れている点です。 他にも、AWSに署名するときに表示するコードを生成することで、プロンプトが表示されます。あとは表示されたプロンプトに署名するだけです。

SMSテキストメッセージベースMFA

SMSテキストメッセージベースMFAでは、IAMユーザー設定にSMS対応モバイルデバイスの電話番号が含まれています。 サインインする際に、AWSから6桁の数値コードをSMSテキストメッセージからモバイルデバイスに送信されます。 まずは、習得したコードを2番目のウェブページに入力する必要があり、IAMユーザーにのみSMSベースのMFAは使用できます。AWSアカウントのルートユーザーにこのタイプのMFAは使用できません。

AWS MFAのまとめ

AWS MFAについて解説してきましたが、理解を深めて頂くことはできたかと思います。AWS MFAには様々な特徴や豊富な物理デバイスがあり、できることが沢山あります。 すべて使いこなすのは、なかなか難しいと思いますが、AWS MFAはとても便利で使いやすい機能です。 AWSご利用の際は、是非活用してください。]]>