ネットワークエンジニアが学ぶAWS

ネットワーク構築のインフラSEがAWSについて学んでいく過程を記事にしていきます!

AWSアカウント作成初日にやるべきこと①(MFAの有効化)

約 6 分
AWSアカウント作成初日にやるべきこと①(MFAの有効化)

AWSアカウントの作成初日に必ずやるべきことがあります。これをやっておかないと、

「いつの間にかパスワードが変わってログインできなくなっていた…」
「知らない間に料金の請求が来ていた….」

となってしまう可能性があります。必ず実施して安心できる状態でAWSを使いましょう!
AWSアカウント作成初日にやるべきことは下記の4点です。

AWS作成初日にやるべきこと
① MFAの有効化
② 管理者権限ユーザの作成
③ cloudtrailで操作ログの取得
④ 無料利用枠の超過アラート設定

今回は1つ目の「MFAの有効化」について説明していきます。

AWSのユーザアカウントについて

作業に入っていく前に、AWS使用する際にはどのユーザで使っているのかを注意する必要があります。ここを理解しておいた方が、作業時の疑問点が減ると思いますので、ぜひ先に読んでいただきたいです!
AWSでは、自分のクラウド環境内で複数のユーザを作ることができます。ユーザアカウントは、使われ方によって以下の3種類に分かれています。

ルートユーザ
 AWSに登録したメールアドレスを使用してログインするユーザ。すべての項目にアクセスする権限を持っていて、もし乗っ取られたらかなりやばいです笑

IAMユーザ
 AWSクラウド環境内で操作できる範囲を制限したユーザ。どの範囲まで操作できるかを個別に決めることができます。

OSユーザ
 AWS内に作成した自分のサーバへのログイン時に使用するユーザ。PCのWindowsやMacにログインするときに使うものと一緒です。

AWSアカウントを作成した際には、「ルートユーザ」というクラウド環境内のすべてにアクセスできる最強のユーザが作成されます。このアカウントを誰かにハッキングされると、登録している個人情報を見られてしまったり勝手にパスワードを変更されて自分ではログインできなくなったりと、めんどくさいことになってしまいます。

MFAの有効化

AWSアカウントを作成して初めてログインする時には、ユーザ名とパスワードのみを利用します。これだと、ユーザ名に関してはメールアドレスになるので、パスワードさえわかれば簡単にハッキングできてしまいます。これではちょっと怖いですよね笑
そこで認証をより厳しくする方法として、AWSには「多要素認証(MFA:Multi-Factor Authentication)」があります。これは、他の機器も連携させてログインの認証をする仕組みで、一番わかりやすいのがスマホとの連携です。スマホに専用のアプリをインストールして、そのアプリと連携させて認証を行います。MFA認証を取り入れると、AWSでのログイン認証時にユーザ名/パスワードとともに、スマホアプリに表示される数字を入力することでログインできます。

これにより、たとえユーザ名/パスワードが他の人に見られてしまっても、登録しているスマホがなければログインできない状態になるため、より安全に認証することができます

ルートユーザへのMFA適用手順

今回は自分のiphoneでMFAを行うことを前提として説明していきます。スマホとPC側でそれぞれ操作があるので、【PC操作】【スマホ操作】で手順を記載していきます。

必要になるもの
・自分のiphone(androidでも可能です。)
・Authyのインストール(App Storeで「Authy」と検索するか、こちらからインストールしてください。)
※Google Auchenticatorを勧める方も多いですが、スマホを紛失すると面倒くさいことになるのでAuthyがオススメです。

【PC操作】AWS マネジメントコンソール から自分のID(AWSアカウント作成時のメールアドレス)でサインインします。(AWSアカウントの作成手順はこちら
AWSマネジメントコンソール画面へのサインイン(メールアドレス入力画面)

AWSマネジメントコンソール画面へのサインイン(ルートユーザーサインイン画面)

【PC操作】ログイン後の画面でログインID横の[▲]をクリックし、[セキュリティ認証情報]をクリックします。
AWSマネジメントコンソールからのサインアウト
【PC操作】下記の画面がポップアップで []を選択し、[セキュリティステータス] のから[ルートユーザー の MFA を有効化] をクリックします。
セキュリティ認証画面での情報更新喚起

【PC操作】[セキュリティ認証情報]画面が出力されるので、[多要素認証(MFA)] をクリックして開いたタブから[MFAの有効か] をクリックします。
AWSセキュリティ認証画面トップページAWSセキュリティ認証画面のMFA認証

 

【PC操作】ウィザードで、[仮想 MFA デバイス]、[Continue (続行)] の順に選択します。
MFAデバイスの選択

【PC操作】[仮想MFAデバイスの設定]画面が表示されるので、[QRコードの表示]をクリックしてQRコードを画面が画面に表示されている状態にします。
仮想MFAデバイス認証画面(QRコード表示前)

【スマホ操作】Authyをスマホで起動します。[+ Add Account]をタップして、表示される下記の画面で[Scan QR Code]をタップして、PCに表示されているQRコードをAuthyでスキャンします。
※Authyでは、バックアップを取得しておくことでもしスマホを紛失しても別のスマホにデータを移し替えることができます。もしもの時に備えて設定しておきましょう。<手順:「Settings」をタップして下部に表示される「ACCOUNTS」タブに移動して、「Authenticator Backups」をONにします。>
AuthyでのQRコード読み取り操作

【スマホ操作】Autyhの画面に表示される 6 桁の数字を確認します。(30秒ごとに数字は変更されます。)
※Gmailや他のアカウントでAuthyの登録をしている場合には、表示されているワンタイムパスワードが「root-account」から始まるAWSの認証であることを確認してください。
AuthyによるAWSアカウントのワンタイムパスワード表示

【PC操作】[MFA デバイスの管理] ウィザードの [MFA Code 1 (MFA コード 1)] ボックスに、MFA デバイスに表示されている 6 桁の数字を入力します。
次にデバイスが新しい数字を生成するまで 30 秒ほど待ち、表示された新しい 6 桁の数字を [MFA Code 2 (MFA コード 2)] ボックスに入力して、[MFA の割り当て]をクリックします。

QRコードを使用した仮想MFAデバイス登録画面

【PC操作】割り当て完了画面が出たら、MFAの設定は終了になります。[閉じる] をクリックします。
スマホによる仮想MFAデバイス登録完了画面

【PC操作】MFA認証が動作しているかを確認します。AWSマネジメントコンソールから[サインアウト]してください。
AWSマネジメントコンソールからのサインアウト

【PC操作】AWSマネジメントコンソールから[サインイン]してください。メールアドレスとパスワードの認証後に、多要素認証の画面に移ります。
AWSマネジメントコンソールへのサインイン

AWSマネジメントコンソール画面へのサインイン(メールアドレス入力画面)AWSマネジメントコンソール画面へのサインイン(ルートユーザーサインイン画面)
【スマホ操作】Authyを開いて表示されている6桁の数字を確認します。
【PC操作】[MFAコード]に確認した数字を入力して[送信]をクリックします。
AWSマネジメントコンソール画面へのサインイン(MFA認証画面)AWSマネジメントコンソールが表示されれば、MFA認証は正しく動作しています。これでrootアカウントに関するセキュリティ対策はバッチリですね!
次回の記事では、AWS内を操作するための管理者ユーザを作成します。ルートアカウントは、必要な時以外アクセスしないようにしましょう。

エンジニア向けの資産形成情報を発信中!

将来にお金を残していくための情報発信をしています。友だち登録をしてくださった方には、資産形成の記事を閲覧するためのパスワードもお教えてしてますので、気になる方は下記から登録お願いします(^^)
AWSの資格を取りたい方向けに僕が合格した過去問レポートもプレゼントしています!

友だち追加

About The Author

カワタン
3年半インフラエンジニアとしてネットワーク運用/構築に携わってきましたカワタンです^_^AWSのことを知ってから、このサービスが大好きになって現在猛勉強中です(*^^*)
AWS専門家になって月収150万目指してます!!!
Follow :

Leave A Reply

*
*
* (公開されません)