top of page
Blog article

Blog article

AWSマネジメントコンソールにYubiKeyで多要素認証ログインする

AWSマネジメントコンソールへのログインは多要素認証(MFA)に対応しています。

Google Authenticatorなど、スマートフォンで利用できるワンタイムパスワード(TOTP)などが使われることが多いかと思いますが、YubiKeyなどの認証デバイスも利用することができます。


YubiKeyのご購入はこちらから





この記事ではYubiKeyを使ってAWSマネジメントコンソールに多要素認証ログインを行う設定方法についてご紹介します。

ワンタイムパスワードと違って入力の手間がないので、こちらの方が使い勝手はよいのではないかと思います。


以前は1ユーザーにつき1本しか設定できませんでしたが、現在は複数のデバイスを設定することができるようになっています。

AWSはいつの間にか仕様が変わっていますね。


FIDO対応の認証デバイスであれば利用可能です。現在はFIDOといえばFIDO2という規格が最新ですが、AWSではFIDOの中でもU2F(かんたんに言うとFIDO1)の機能が使われています。そのためYubiKey4などの少し古いFIDOキーも使えます。

個人的には、できればFIDO2対応して欲しいところではありますけどね。


目次


では、実際に多要素認証の設定を行っていきます。


 

設定の準備


多要素認証の設定は、AWSコンソールにログインして自分で設定を行う方法か、または管理者ユーザーが別のユーザーの設定をする方法があります。


今回はIAMユーザー自身で設定する手順を紹介します。


別のユーザーの設定を行う場合は、管理者ユーザーでAWSコンソールにログインします。「IAM」の「ユーザー」設定を開き、対象のユーザーを選択した上で「認証情報」の「多要素認証(MFA)」をクリックすることで、記事内と同様の手順で認証デバイス登録の設定を行うことができます。

設定のためには、操作するIAMユーザーが多要素認証を設定する権限を持っている必要があります。権限が無い場合は必要に応じてあらかじめ権限を設定しておいてください。


多要素認証を登録する権限

iam:EnableMFADevice


登録した多要素認証を削除する権限

iam:DeactivateMFADevice


 

登録設定手順


以降の手順は次の環境で操作しています。


ブラウザ:Chrome 108.0.5359.125

認証デバイス:YubiKey5 NFC


まずは通常通りAWSコンソールにログインします。

ログイン後、右上の自分の名前をクリックし、「セキュリティ認証情報」をクリックします。

セキュリティ認証情報を選択

「多要素認証(MFA)」内の「MFAデバイスの割り当て」ボタンをクリックします。

MFAデバイスの割り当て設定

任意のデバイス名を入力し、「セキュリティキー」を選択して「次へ」をクリックします。

MFAデバイスの設定

セキュリティキーのセットアップが開始されます。

「OK」をクリックして進めます。

セキュリティーキーのセットアップポップアップ

続けて「OK」をクリックします。

セットアップの続行ポップアップ

YubiKeyをUSBに接続していない場合は接続するようにメッセージが表示されます。

セキュリティキーの接続要求

YubiKeyをUSBポートに接続します。

YubiKeyをUSBに接続

YubiKeyを接続すると、PINの入力を求められます。

PINの入力

指紋タイプの認証デバイスの場合はPIN入力ではなく指紋のチェックが行われます。
また、PINや指紋に対応していないFIDO認証デバイス(※)の場合はPIN入力が表示されません。
※YubiKey4など、FIDO2未対応(U2Fのみ)の少し古いデバイス。

YubiKeyのタッチを求めるメッセージが表示されます。

セキュリティキーのタッチ要求

接続しているYubiKeyの「Y」の文字が光りますのでタッチします。


YubiKeyにタッチ

登録が完了するとこのようなメッセージが表示されます。

登録完了メッセージ

ここだけ翻訳されてないですね。

内容を見ると、最大8本まで認証デバイスを登録できるようです。

※最大の8本登録すると、次から「MFAデバイス割り当て」ボタンが押せなくなりました。


追加したキーが一覧に表示されました。

入力したデバイス名はどこから確認するんだろう?と思ったら、「識別子」の中に含まれていました。


以上で設定は完了です。

これで、次のログインから多要素認証になります。


 

ログイン確認手順


一旦サインアウトして、ログイン時にYubiKeyが使用できるか試してみます。

AWSコンソールのログイン画面を表示します。

ユーザー名とパスワードを入力してサインインを実行します。

追加の検証としてセキュリティキーのタッチ要求

追加の検証としてセキュリティキーの接続を求められました。


USBにYubiKeyを接続すると、キーのタッチを求められます。

ログインの際はPINの入力が要求されません。U2Fの動作ですね。

追加の検証としてセキュリティキーのタッチ要求

YubiKeyにタッチします。

YubiKeyにタッチ

認証に成功するとコンソール画面が開きます。

ログイン成功画面

無事にYubiKeyを使って多要素認証ログインすることができました。


 

その他の認証デバイスの登録


手順ではYubiKey5 NFCを使用しましたが、FIDOに対応した認証デバイスであれば使用することができます

せっかくなので、弊社で取り扱っている他の認証デバイスでも登録を行ってみました。


YubiKey Bio (Yubico)

YubiKey Bio










※手持ちのYubiKeyBioがTypeCのものだったのですが、使用しているPCにTypeCの接続口がなかったのでUSBアダプタを使っています。

YubiKey BioはFIDO2の生体認証(指紋)を行うことができるタイプのデバイスです。


Idem Key (GoTrust)

IdemKey











Idem KeyはYubiKey5 NFCと同じように、FIDO2のPINを設定するタイプの認証デバイスです。


ATKey.Pro (AUTHENTREND)

ATKey.Pro











ATKey.ProはFIDO2の生体認証(指紋)を行うことができるタイプの認証デバイスです。


YubiKey4 (Yubico)

YubiKey4










YubiKey4はU2Fのデバイスです。※現在はお取り扱いしていません。


これらの認証デバイスはすべて使用することができました


ここからは小ネタレベルですが、登録時と認証時の動作は、デバイスによって少しだけ動作が異なります。

今回試した認証デバイスは次のタイプに分けられます。


FIDO2(PIN) …YubiKey5 NFC、Idem Keyなど

FIDO2(生体認証) …YubiKey Bio、ATKey.Proなど

FIDO U2F …YubiKey4など


そしてタイプごとに以下のような動作になりました。

登録時

FIDO2(PIN):PINの入力の後にタッチ

FIDO2(生体認証):生体チェック+タッチ

FIDO U2F:タッチのみ


認証時

FIDO2(PIN):タッチのみ

FIDO2(生体認証):生体チェック+タッチ

FIDO U2F:タッチのみ


AWS側の実装がU2Fなので、使う認証デバイスがFIDO2の場合だと少しずつ動作が変わっているようです。

 

まとめ


YubiKeyを使った多要素認証設定を行うことで、よりセキュアに、より簡単にログインができるようになりました。


冒頭でも書いている通り、ワンタイムパスワード(TOTP)はスマホがあれば使えるので便利ではあるのですが、利用するIDが増えてくると探すだけでも大変だったり、毎回の入力が意外と面倒なので、認証デバイスの方が使い勝手はよいですね。


管理面からも、物理デバイスを管理すればいいので、わかりやすいという利点があります。

社給のスマホがない場合、個人のスマホにワンタイムパスワードの情報を入れるのはセキュリティの観点から不安ですが、物理デバイスであれば、必要な時のみユーザーにデバイスを渡すなどの運用も可能です。


もしYubiKeyなどのFIDO対応の認証デバイスをお持ちであれば試してみてはいかがでしょうか。


YubiKeyや弊社取扱いの他の認証デバイスは以下のサイトから購入することができます。

お見積りはお問い合わせフォームからお問い合わせください。


YubiKeyShop 正規代理店


Amazon


お問い合わせ


最後までお読みいただきありがとうございました。

Comments


bottom of page