安全にManagement Consoleを使うためのMFAの運用方法


本日はAWS Advent Calendar 2013 on Zusaarの12月18日の記事として、
Virtual MFAを利用する上での注意点について書きます。

MFAとは

Multi-Factor Authenticationの略称で、Management Consoleへのログインのセキュリティを高めることが出来ます。
通常はID + パスワードでログインしておりますが、MFAを有効にすることで一定時間おきに更新されるMFAデバイスに表示される6桁の数字も入力することでログインできます。
これによって、万が一パスワードが流出した場合でも、管理画面に登録してあるMFAデバイスがない限りManagement Consoleにログインされることはありません。

 

MFAの設定方法

AWS Security Blog『5分以内に、AWSアカウントのセキュリティを改善する方法』をやってみた編を参考に行えます。
タイトル通り5分程度で設定することが出来ます。

 

注意すべき点

シンプルでわかりやすい機能なので気をつけるべくは1点です。
それは「MFAデバイスを無くさない・壊さない」です。
特に無くさなくても、壊さなくても、バージョンアップで使えなくなるという事もあり得ます。(実際ありました!!!)

 

注意点に対する対策

対策としては「複数のデバイスを登録する」事です。

Virtual MFAだけでも、iPhone, Android, Windows Phone, Blackberryから提供されております。
また、Androidからは2つのアプリケーション(AWS Virtual MFA, Google Authenticator)が出ています。

複数登録しておくことで、1台にトラブルがあった時にも、もう1台でログインして別のデバイスを登録することが出来ます。

 

MFAを有効にしましょう!

MFAを使う事で簡単にManagement Consoleのセキュリティを高めることが出来ます。
ただし、万が一全てのデバイスが無くなってしまった場合はログインすることができなくなってしまうので、正しく運用することで安心してクリスマス・お正月を過ごすことが出来ます。

 

おまけ

昨年(2012)のre:InventでもらっていたAmazon.comの$5チケットを使っていなかったので、Hardware MFAを購入してみたいと思います。
クリスマスには届かないと思いますが、少し遅目の自分へのクリスマスプレゼントとして届くのを楽しみにします。

 

  • 1.Amazon.comのGiftCardページにアクセスしてアカウントを作成します。

日本でアカウントを持っていても作る必要があるようです。

 

  • 2.ログインした状態でカードの裏にあるコードを入力します。

※Claim Codeはプロモーションコードと違い、下記URLから登録し事前登録を行い購入時に自動的に適用される様です。
http://www.amazon.com/gc
IMG_5644

  • 3.登録に成功すると以下のメッセージが表示されます。

cap11

  • 4.AWSの以下のページに移動し、「Purchase Device」から進みます。

http://aws.amazon.com/jp/mfa/
最初はgemaltoのサイトですが、購入時にAmazon.comとなるのでご安心ください。

  • 5.ショッピング中の画面は一部割愛していますが、進んで行くと以下の様になります。

cap12
問題なければ、そのまま「Place Order」をクリックします。

 

  • 6.購入が完了するとgemaltoの画面に戻ります。

cap13

 

  • 7.あとはワクワクしながら、到着を待つだけです。

また、ギフトカードはMyAccountの購入履歴画面から今回の購入の”Invoice”を参照し、1番下にある「Apply Gift Card」をクリックすると適用されます。
cap14

 

届いたら追記したいと思います!

明日のAWS Advent Calendar 2013 on Zusaarは@imai_factoryさんです。