AWS の MFA (多要素認証) を設定してセキュリティ強化する話です。
不正アクセス防止に役立つので、MFA デバイスは設定しておいた方が良いでしょう。
一般的な方法としてはスマートフォンを MFA デバイスに設定するようですが、スマホを見るのが面倒なので、他に方法がないか調べてみました。
調べてみると WinAuth で使用中のパソコンを MFA デバイスに設定できることが分かったので、その設定方法を画像付きで残します。
私みたいな横着な場合だけでなく、以下のような場合にも使われているようです。
- 業務で AWS を利用しているが、情報セキュリティ的に私物のスマートフォンを使用させたくない。
- サーバー室などの固定端末からのみ AWS アクセスを許可したい。
など
MFA デバイスの紛失、故障、WinAuth のパスワード忘れなどは「もしもの場合」へ。
MFA (多要素認証) とは
MFA (Multi-Factor Authentication : 多要素認証) とは、本人確認のために 2つ以上の要素で認証する方法です。
ID、パスワードの他に、スマートフォンの SNS やメール、指紋、顔認証が有名どころでしょうか。
若干ニュアンスが違いますが、二段階認証、多段階認証の方がわかりやすいかもしれません。
もし ID や、パスワードが流出してしまっても、スマホやパソコンを認証要素にしておくことで不正アクセスされにくい状況を作ることができます。
WinAuth とは
WinAuth とは、多要素認証用のアプリケーションです。
読み方は「ウインオース」、「ウィンオゥス」で通じます。
フリーソフトで、無償一般公開されています。
使用しているパソコンに設定ができるので、他のパソコンで使用するつもりがなければ毎回スマホを確認する必要もなくなるのでとても便利です。
ダウンロード
「WinAuth ダウンロード」で検索すればすぐに見つかります。
英語表記なので、私はすぐに「右クリック → 日本語に翻訳」します。(笑
直接飛びたい方は以下のリンクから。
使用する際は、ダウンロード先の注意書きをよく読んで使用してください。
表示されたページから最新安定バージョンをダウンロード。(2023-10-09 ではバージョン 3.5.1)
インストール方法
WinAuth はインストール不要で、ダウンロードした zip ファイルを解凍するだけです。
zip ファイルを解凍すると「WinAuth.exe」がひとつだけ入っていますので、好きなところに配置してください。
私は C ドライブ直下に「Soft」というフォルダを作成して、解凍したフォルダごと入れています。
※ いつも決まったところに入れておくと、不要になった時に整理しやすいです。
こんな感じ。
WinAuth.exe を実行すると、以下のような画面が開きます。
設定方法は後程。
MFA の設定
AWS MFA デバイスを WinAuth で設定します。
WinAuth の配置がまだの方は少し上に戻って「ダウンロード → 解凍 → 配置」してください。
セキュリティ認証情報
まずは AWS 側の情報を取得するため、ヘッダー部右上のユーザーメニューから「セキュリティ認証情報」を開きます。
※ リージョンは自動で「グローバル」に変わります。
MFA デバイスの割り当て
セキュリティ認証情報で開いた画面から、「多要素認証 (MFA)」枠にある「MFA デバイスの割り当て」ボタンをクリックします。
※ ベストプラクティス 枠にある「MFA を割り当てる」から進んでも良いです。
MFA デバイスを選択
MFA デバイスを選択する画面では、MFA デバイスの名称とタイプを設定します。
MFA device name には、デバイスを識別する名称 (私はパソコン名にしました) を設定し、MFA device は、Authenticator app を選択して「次へ」ボタンをクリックします。
MFA device の内容を知りたい方は、以下の公式サイトをご覧ください。
デバイスの設定
次にデバイスの設定です。
ここで WinAuth と連携します。
アプリケーションのインストール
WinAuth のインストールは、「WinAuth とは」を参照。
※ WinAuth をダウンロードして、zip ファイルを解凍、配置して「WinAuth.exe」を実行するだけ。
タスクバーにピン留めしておくと使うときに便利なのでピン留めしておきましょう。
シークレットキーの登録
AWS 側の設定と WinAuth の設定を連携します。
まずは、AWS 側で「シークレットキーを表示」リンクをクリックして表示された文字列をコピーします。
※ 表示された文字列をドラッグアンドドロップで反転させてコピーできます。
コピーしたシークレットキーを WinAuth に設定します。
WinAuth の add ボタンをクリックし、表示されたメニューから「Authenticator」をクリック。
表示された設定画面に以下の項目を設定し、「Verify Authenticator」ボタンをクリック。
Name : 任意の名前
1.シークレットキー : AWS 側のシークレットキーを貼り付け
2.タイプ選択 : Time-based を選択
「Verify Authenticator」ボタンをクリックすると、6桁の認証コード (数字) が表示されるようになります。
※ 認証コードは時間経過で次々と数字が変わります。
MFA コードの入力
WinAuth に表示される 6桁の認証コードを 2回分連続で「MFA コード1」、「MFA コード2」に設定し、「MFA を追加」ボタンをクリック。
連続して 2回入力する必要がありますが、落ち着いて入力すれば意外と余裕です。
設定完了
多要素認証 (MFA) に 1件追加されていれば完了です。
残りは、WinAuth 側を忘れずに設定して終了します。
WinAuth の設定保存
AWS 側の設定が終わったら、WinAuth 側の設定を保存します。
「add Authenticator」画面で「OK」ボタンをクリック。
WinAuth のパスワード設定
「add Authenticator」が完了すると「Protection (保護)」画面が開きますので、必要な内容を入力して「OK」ボタンで完了です。
WinAuth の設定は任意ですが、以下を設定しておくことをおすすめします。
Protect with my own password : パスワードを設定する Password : パスワード Verify : 確認パスワード Encrypt to only be useable on this computer : このコンピュータでのみ使用 And only by the current user on this computer : 現在のユーザのみ使用
サインイン (確認)
MFA デバイスが正しく設定されているか、実際にサインインしてみましょう。
AWS ログイン状態だと思いますので、一度「サインアウト」してください。
サインインページ
AWS サインアウト後、右上の「コンソールにサインイン」ボタン、または「もう一度ログインする」ボタン等でサインインページへ移動してください。
以下のリンクからでも開けます。
サインイン手順は以下の通りで、「3.MFA コード入力」が追加で表示されます。
- E メールアドレス入力
- パスワード入力
- MFA コード入力
- サインイン完了
E メールアドレス入力
E メールアドレスを入力して「次へ」ボタンクリック。
パスワード入力
パスワードを入力して「サインイン」ボタンクリック。
MFA コード入力
WinAuth で MFA コードを表示し、AWS 側に MFA コードを入力して「送信」ボタンをクリック。
WinAuth を実行して「認証コード表示」マークをクリック。
表示された 6桁の認証コード
AWS側の入力欄
サインイン完了
サインイン完了です。
小技 : 認証コード表示時にコピーする方法
ここでひとつ小技です。
WinAuth の認証コードを表示する際、コピー設定しておくことで 6桁の数字を見ながら AWS 側に入力する手間を省くことができます。
設定方法は、該当設定部分で右クリックしてメニューを開き、「Copy on New Code」にチェックを入れておくだけ。
認証コードを表示した際にクリップボードにコピーされるため、「3.MFA コード入力」では AWS 側の入力欄にカーソルを合わせて貼り付けることができます。
もしもの場合
MFA デバイスの紛失や故障、WinAuth のパスワード忘れなど、もしもの場合は他の方法でサインインすることが可能です。
詳しくは以下の公式ページをご確認ください。
「MFA デバイスの紛失および故障時の対応」
「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」
まとめ
スマートフォンを使用しないで MFA デバイスをパソコンに設定する方法でした。
最近は不正アクセスや情報漏洩なんてニュースや記事が多くなっているので、少しでも出来ることはやっておこうと思います。
いたずらでアクセスされて高額請求とか考えたくないです・・・。
請求アラートの設定と合わせておけば少しでもリスクは防げるはず・・・。
請求アラートの設定は以下で記事にしていますのでよろしければどうぞ。(宣伝でした)
