AWSルートアカウントのMFA認証について調べたこと

AWS

ルートアカウントのMFA認証とは

ログイン時、通常のログイン認証情報(アカウントID・ユーザ名・パスワード)に加えて、6桁の数字などの認証情報が必要になるセキュリティ設定のことです。
AWS での多要素認証 (MFA) の使用

設定するには下記3つの選択肢があります。

  1. 仮想MFAデバイス
  2. U2Fセキュリティキー
  3. ハードウェアMFA デバイス

※SMSテキストメッセージベースMFAはまもなくサポート終了のようです
プレビュー – SMS テキストメッセージ MFA デバイスの有効化

1. 仮想MFAデバイス(インストールして使う仮想デバイス)

モバイルデバイスまたはコンピュータにアプリをインストールし、6桁の認証コードを生成して認証する方法です。
セキュリティ保護されていないモバイルデバイスでも実行できるため、2.と3.程のセキュリティレベルはないようです。
仮想 Multi-Factor Authentication (MFA) デバイスの有効化

(アプリケーション例)
Google Authenticator
Microsoft Authenticator
Twilio Authy

※Googleブラウザの拡張機能、「Authenticator」でもMFA認証設定は可能ですが、悪意のある攻撃者が何らかの方法でユーザのコンピュータにアクセスできてしまった場合のことを考えると、別のデバイスを使用した方がセキュアではあるようです

AWSアカウントのMFA認証をChromeの拡張機能で設定する
AWSアカウントのMFA認証をGoogle Chromeの拡張機能を利用して設定します。 拡張機能「Authenticator」をインストール 下記リンクにアクセスします。 「Chromeに追加」をクリック。 使...

2. U2Fセキュリティキー(要購入な物理デバイス)

コンピュータの USB ポートに接続するデバイスを使用する方法です。
コードを手動で入力する代わりに、認証情報を入力してデバイスをタップすることで認証します。
ハードウェア MFA デバイスの有効化

Yubico セキュリティキー YubiKey U2F/FIDO2/USB-A ポート/2段階認証/高耐久性/耐衝撃性/防水
Yubicoのセキュリティキーは、ハードウェアベースの認証、公開鍵暗号、U2FおよびFIDO2プロトコルを兼ね備え、アカウントの乗っ取りを防ぎます。セキュリティキーは最高レベルの認証を提供し、Facebook、Gmail、GitHub、Dropbox、Dashlane、Salesforce、Duo、Docker、Cen...

3. ハードウェアMFA デバイス(要購入な物理デバイス)

U2Fセキュリティキーが入力不要に対し、こちらは1.と同じく6桁の数値の入力で認証する方法です。
スマホなどに比べ、ネットワークからも隔離されているためセキュアです。
U2F セキュリティキーの有効化

SafeNet IDProve 110 6-digit OTP Token for Use with Amazon Web Services Only
SafeNet OTP 110 token is an OATH-certified OTP hardware token that enables multi-factor authentication to a broad range of resources. Featuring time and event-b...

MFAデバイスの故障・紛失時

いずれの故障・紛失時もコンソールからデバイスのリセットが可能なようです。
必要な情報はルートユーザの「メールアドレス」「パスワード」「アカウント登録時の電話番号」です。
MFA デバイスが故障または紛失した場合のセルフサービスによるリセットの方法

コメント

タイトルとURLをコピーしました