はじめに
目的
本ドキュメントは、AWS認証に関する疑問を解消し、実際の設定や運用に役立つ手順を分かりやすく示すことを目的としています。特に多要素認証(MFA)やIAMユーザーのログイン、新しいCLI認証「aws login」に焦点を当てます。
読者対象
AWSの基本的な操作経験がある方を想定します。初心者の方にも分かるように、専門用語は最小限にして具体例で補足します。
本書の構成
第2章でMFAの基本とAWSでの仕組みを説明します。第3章はIAMユーザーに対するMFA設定手順を丁寧に示します。第4章ではIAMユーザーがコンソールへログインする流れを解説します。第5章は従来のアクセスキー認証の課題を挙げ、新しいaws loginコマンドの実装と認証フローを詳述します。
読み進め方
各章で手順や画面操作を具体例で示します。まず第2章から順に読み、実際のAWS操作と照らし合わせて進めることをお勧めします。
多要素認証(MFA)の基本概念とAWSにおける実装
概要
多要素認証(MFA)は、複数の異なる認証要素を組み合わせて本人確認を強化する仕組みです。パスワードだけでは不十分な場面で有効で、アカウントの不正利用リスクを大きく下げます。
認証要素の種類(わかりやすい例で説明)
- 知識要素:パスワードやPIN。例)自分だけが知るログインパスワード。
- 所有要素:スマートフォンの認証アプリやハードウェアキー。例)スマホの認証アプリで表示される6桁コード。
- 生体要素:指紋や顔認証。例)スマートフォンの指紋認証でロックを解除する方法。
AWSでの代表的な実装
- 認証アプリ(TOTP):スマートフォンのアプリで時限のワンタイムコードを生成します。設定が簡単で多くの環境に適します。
- ハードウェアセキュリティキー(FIDO対応):USBやBluetoothの物理キーを使う方式です。キーを差し込む、またはタップするだけで認証でき、フィッシング対策に強い特徴があります。
認証フローのイメージ
- ユーザーはユーザー名とパスワードでまずログインします。
- 次に認証アプリの6桁コード入力、あるいはハードウェアキーの操作を求められます。
- 両方が正しければアクセスを許可します。これによりパスワード漏えいだけでは不正アクセスを防げます。
導入時のポイント
- 重要なアカウント(ルートや管理者)には必ずMFAを有効にしてください。
- スマホ紛失に備え、リカバリ手段(予備のデバイスやバックアップコード)を準備してください。
- 組織ではまず管理者アカウントから順に段階的に導入することをおすすめします。
IAMユーザーのMFA設定手順
前提条件
- IAMユーザーでAWS Management Consoleにログインできること。
- ユーザー名のメニューから「セキュリティ認証情報」にアクセスできる権限があること。
設定手順(画面操作)
- 画面右上の自分のユーザー名をクリックし、「セキュリティ認証情報」を選びます。
- 「多要素認証(MFA)」の項目で「MFAデバイスの割り当て」をクリックします。
- 「仮想MFAデバイス」か「ハードウェアMFAデバイス」を選択します。
- 仮想の場合:スマホの認証アプリ(例:Google Authenticator、Authy)を開き、表示されたQRコードを読み取ります。アプリに表示されるワンタイムパスワード(OTP)を2回連続で入力して登録を完了します。
- ハードウェアの場合:デバイスのシリアル番号を入力し、表示されるOTPを2回入力して登録します。
- 登録後、成功メッセージが出ることを確認します。
設定後の確認と注意点
- 設定が正しいかは一度ログアウトしてログインすることで確かめます。ログイン時にMFAコードが求められます。
- 仮想MFAは端末の時刻ズレで認証に失敗することがあります。アプリの時刻同期機能を有効にしてください。
- ユーザーに割り当てられるMFAは基本的に1つです。端末紛失に備え、シードの安全な保管や、クラウドバックアップ機能のある認証アプリを検討してください。
- デバイスを紛失した場合は、管理者に連絡してMFAのリセットを依頼してください。自分が唯一の管理者の場合は、事前に回復手順を整えておくと安心です。
以上がIAMユーザーでのMFA設定手順です。手順どおりに実施すれば安全にMFAを有効化できます。
AWSマネジメントコンソールへのIAMユーザーログイン方法
はじめに
IAMユーザーは専用のサインインURLからログインします。URLは https://〈アカウントID〉.signin.aws.amazon.com/console/ の形式です。組織でアカウントエイリアスを設定している場合は、エイリアスを使ったURLも利用できます。
ログイン手順
- ブラウザで専用のサインインURLにアクセスします(管理者から教えられたURLを使ってください)。
- ユーザー名(IAMユーザー名)とパスワードを入力します。ルートアカウントのメールアドレスではログインしないよう注意してください。
- [サインイン]をクリックします。
- MFAが有効な場合は、認証アプリ(例:Google Authenticator、Microsoft Authenticator)やハードウェアトークンが発行するワンタイムパスコードを入力します。
MFAが有効なときのポイント
ワンタイムパスコードは一般に30秒ごとに切り替わります。スマートフォンの時刻がずれているとコードが通らないことがあるため、端末の時刻を自動同期にしておくと安心です。
利便性と注意点
個別のサインインURLはブックマークしておくと便利です。共有端末ではブラウザの自動入力やパスワード保存を無効にしてください。ログインできない場合は管理者に連絡してアカウント状況やMFAの再登録を依頼してください。
AWS CLIの新認証方法「aws login」コマンドの実装と認証フロー
概要
aws loginはブラウザでの事前ログインとターミナルコマンドを組み合わせ、アクセスキーを直接扱わずに短時間の認証情報を取得する仕組みです。利便性と安全性を高めます。
導入前の準備
- ブラウザでAWSにログインしておく(IAMユーザーや組織アカウント)。
- CLI側でaws loginコマンドが使えるバージョンをインストール。
認証フロー(典型的な手順)
- ターミナルで「aws login」を実行します。ブラウザが自動で開きます。
- ブラウザ上で既にログイン済みのアカウントを選択します。
- 選択したユーザーに対して認可情報が発行され、ブラウザは認可コードや一時的トークンをCLIへ渡します。
- CLIが受け取ったトークンで一時的な認証情報(アクセスキー相当)を作成し、ローカルに安全に保管します。
- 以後は有効期限内にCLIコマンドがその認証情報を使います。期限切れ時は再度aws loginで更新します。
メリットと注意点
- メリット: キー管理の手間が減り、キー漏洩リスクが下がります。複数アカウントの切替が楽です。
- 注意点: セッション有効期限やリフレッシュの仕組みを確認してください。共有端末ではブラウザのログアウトなど運用ルールを徹底してください。
実践では、プロファイル名や保存場所を指定できるオプションを活用すると便利です。
