AWSのログインにハードウェアMFAを導入してみた
AWSアカウントのログインにハードウェアMFAを導入してみました。
所謂ワンタイムパスワードで、トークンに表示される数字を入力しないとログインできないようになります。
とりあえず買ったのがコレ。
Ezio Time-based 6-digit OTP Display Card for Use with Amazon Web Services Only
デバイスは新旧2種類出ていて、古いほうが当然安いのですが、同期がずれるという情報があったため新しい方にしました。
amazon.comでしか買えないのが難点ですが、表示が英語とはいえ画面や購入フローは日本のアマゾンと一緒なので案外簡単です。 住所を英語で入れないといけないのですが、行き先が日本という事さえわかれば実際に届けるのは日本人なわけなので、最終的に日本人に分かるように書けばOK。
配送を早い方を選んで、商品代金$19.99 + 送料$15.43 = $35.42となりました。
火曜の朝注文したらその日のうちにアメリカから出荷され、木曜の昼に到着するというクオリティ。アマゾンすげえ。DHLもすげえ。
こんな感じで届きました。
開けたらこんな感じ。
必要なのはこのカードだけ。
普通のクレジットカードと同じサイズで、感覚的にはそれより薄い!
オレンジのボタンを押すと番号が出ます。普段は非表示です。
裏側。潰した所のシリアルキーをAWS側に登録して利用します。
登録の方法はこちらを参考に。 http://yoshidashingo.hatenablog.com/entry/2014/10/13/164230
ちなみにIAMユーザー(後述)に全権限を与えていても、支払情報をIAMユーザーが見れるようにAWSアカウントでログインして設定しないと見れませんので設定します。
参考
https://www.agilegroup.co.jp/technote/aws-iam.html
登録したらこのカードは金庫にでもしまっておきます。普段使うことはありません。 AWSアカウントが親玉で、その中に実作業をするIAMユーザーを作成し、普段はそちらを使うという感じです。IAMユーザーごとに細かく権限設定ができます。
IAM関係はこちらを参考にするといい感じです。 http://qiita.com/yoshidashingo/items/cd206daca0596659b440
普段使うIAMユーザーのMFAはスマフォにアプリを入れて対応します。 いくつかアプリがあるのですが、メジャーな「Google Authenticator」はスマフォを紛失したりすると復旧できないため却下です。参考サイトでも紹介している「Authy」を使うことにしました。こちらはスマフォを変えても復活することができます。
ちなみにIAMユーザーのMFA変更は最悪AWSアカウントでログインすればできますが、AWSアカウントのMFA再設定はAWSアカウントでログインしない限り不可能です。万一AWSアカウントのMFAを無くしたりすると、電話でAWSサポートに変更依頼(英語)しないといけないらしいので、厳重に管理しましょう。
個人のAWSならrootアカウントもVirtualMFAで良いと思います。 今回は業務利用だったため、AWSアカウントの属人化を避けるためにハードウェアMFAを導入してみました。 あとちょっと厨二心も満たされましたw
デバイス自体は安いのに送料が同じくらいかかるのが難点ですが、ひとつ試してみてはいかがでしょうか。