AWSアカウントの二段階認証にハードウェアMFA (カード型Gemalto)を設定する

cloudpackエバンジェリストの吉田真吾@yoshidashingo)です。

ハードウェアMFAの必要性

バーチャルMFAならiPhoneやAndroidアプリでAWSアカウント認証を管理できる

個人でAWSを利用している範囲であれば、二段階認証としてバーチャルMFAでも設定していれば十分だと思います。AWSアカウントのMFA設定にAuthyを利用する記事を以前に書きましたが、iPhoneやAndroidアプリで管理できるので、荷物が嵩むこともありません。また、AuthyならGoogle Authenticatorに比べても機種変更や復元が簡単です。

ハードウェアが都合がよいこともある

ただし、企業利用において、バーチャルMFAの暗号鍵がバックアップされていること自体がルールに適さないとか、しかるべき手続き以外でMFA自体に接触できないように(金庫保管など)する必要がある場合も考えられます。そういう場合にはハードウェアMFAを設定するとよいでしょう。

ということで今回はハードウェアMFAを購入してみました。

ハードウェアMFA Gemaltoの購入方法

Gemalto(じぇむあると)とは?
トークンデバイスがカード型になっている
10日後...
  • 届きました。

f:id:yoshidashingo:20141013141350j:plain

ハードウェアMFAの設定方法

1. IAM Management Consoleにアクセス
  • AWS Management Consoleにアクセスしたら「IAM」を選択してIAM Management Consoleに移動します。

f:id:yoshidashingo:20141013162253p:plain

2. Multi-Factor Authentication (MFA) タブでMFAをActivate、Hardware MFAを選択して進みます。

f:id:yoshidashingo:20141013162330j:plain

3. Serial Numberにカード型Gemaltoの裏面にあるシリアル番号を入力します。

f:id:yoshidashingo:20141013155134j:plain

4. おもて面の「press」を押して出力される6桁の認証コードを Authentication Code 1に入力します。

f:id:yoshidashingo:20141013155158j:plain

5. もう一度「press」を押して出力される6桁の認証コード(さっきと同じだったらもう一回押して違う番号)をAuthentication Code 2に入力します。

f:id:yoshidashingo:20141013155204j:plain

6. 登録完了
  • この画面が出たら登録完了

f:id:yoshidashingo:20141013162925p:plain

  • MFAの欄にハードウェアMFAが登録されていることがわかります

f:id:yoshidashingo:20141013163035j:plain

7. Gemaltoを使ってログイン
  • 今までのようにログインするためにID/PWを入力すると

f:id:yoshidashingo:20141013163600j:plain

  • 認証コードの入力も促されるので、カード型Gemaltoの「press」を押して表示される認証コードを入力すればログインが可能です。

f:id:yoshidashingo:20141013164220j:plain

Happy, Gemalto Life!!