1.IAMユーザーの初回ログイン
IAMユーザーを作成した場合、最後にユーザーID/パスワードを記したCSVファイルを取得できます。
(取得しないと警告文が出るので、気付くはず)
CSVファイルを取得したら、そこに記されているコンソールサインインURLをコピーし、WEBブラウザでアクセスしてみましょう。
CSVファイルから取得したURLにて、AWSにIAMユーザーとしてサインインすることができます。
コンソールサインインURLを利用してブラウザでアクセスすると、アカウントIDがセットされている状態で画面表示されます。
あとは、ユーザー名/パスワード(双方、CSVファイルからコピー)を入力し、サインインしましょう。
初回ログインの場合、上の画面のようにパスワード変更を要求されるので、それに従いパスワード変更を行ってください。
2.多要素認証について
IAMユーザーでのサインインにおいては、IDとパスワードの入力だけでなく、認証コードを併せて入力するという2段階認証(多要素認証:MFA)が推奨されています。
※MFAとは、Multi-Factor Authenticationの略です。
ID/パスワードだけでサインインができてしまうと、万一パスワードが流出してしまった場合、その時点で第三者による成りすましが可能となってしまいますが、それ以外の認証要素を加えることで、安全性を大幅に高めることができます。
① MFAデバイスの選択
「IAM」から対象のIAMユーザーを選択し、「セキュリティ認証情報」タブ内の多要素認証(MFA)から「MFAデバイスの割り当て」をクリックします。
割り当て画面では、まずMFAデバイスの選択を行います。
いくつか選択することができるのですが、今回は「Authenticator app」を選びます。
これは、手持ちのスマホ等に認証アプリをインストールし、IAMユーザーと結びつけることで、アプリに表示される認証コードを確認できる者のみがサインインできるという仕組みです。
※他にも選択できるのですが、筆者はこれしかやった経験がないので、他はまた別の機会に。。。
上記の通り、デバイス名を入力し、「Authenticator app」を選択したら、画面の下にある「次へ」をクリックしてください。
※デバイス名は、後述する認証アプリで、認証コードを識別するための名称だと思ってください。
② MFAデバイスとIAMユーザーの紐づけ
次は、認証アプリを実際に登録する画面に移動します。
上の画面の通り、QRコードが表示されますので、それを認証アプリから読み取り、そこで表示された認証コードを2回分入力後に「MFAを追加」をクリックすることで、登録が可能となります。
因みに、認証アプリは様々な種類がありますが、筆者は下記のアプリを利用しています。
(適当に選んでしまいました。。。)
他にも、
・Microsoft Authenticator
・Google Authenticator
など、数多くの認証アプリがあるので、好きなアプリを選んでみてください。
MFAを追加すると、IAMユーザー画面に戻ります。
上の画面のようにメッセージが表示され、「多要素認証」の箇所にデバイス情報が追加されます。
これで、IAMユーザーへの多要素認証の追加ができました。
③ 認証コードの利用
認証アプリを開くと、最初に決めたデバイス名である「test-user-MFA」という名称で認証コードが割り振られていることが確認できます。
※他に認証コードがある場合、どれがどの認証コードであるか、判別できるようになっています。
なお、この認証コードは、一定時間で次の数値に切り替わりますので、入力の際は気を付けてください。
MFA認証追加後は、対象のIAMユーザーでサインインした場合、ID/パスワード入力の後、上の画面のようにMFAコードの入力を求められます。
紐づけた認証アプリを開き、そこに表示されている認証コードを入力し、サインインしてください。
まとめ
IAMユーザーを作成後は、初回サインイン時の初期パスワードの変更が必須であり、その後の多要素認証の追加が推奨されています。
これらを確実に行うことで、IAMユーザーアカウントの安全性を高めていってください。
お読みいただき、有難うございました!
コメント