AWSルートユーザーへのMFA設定

 本記事では、AWSのルートユーザーに対してMFA(多要素認証)の設定を行います。

 AWSに新規登録した際に作成されるルートユーザーは、あらゆるサービスの作成・変更・削除が可能です。乗っ取られてしまうとリソースの悪用、データの消失、高額な利用料の請求などが発生する恐れがあるので絶対に奪われてはいけません。そのため本記事のようにMFA設定を行い、乗っ取りのリスクを低減させましょう。
 MFAにはいくつかの方法がありますが、今回はスマートフォンにMicrosoftが提供する「Microsoft Authenticator」という認証アプリを利用します。

 また上記の通りルートユーザーはあらゆる操作が可能なため、別途操作可能な範囲・権限を絞ったIAMユーザーというユーザーを作成して操作を行うことが推奨されています。こちらは後日記事を作成する想定(未定)です。

◆ AWSルートユーザーへのMFA設定手順 (2023年1月時点)

1.
AWSマネジメントコンソールにログインし、右上のアカウント名をクリックし、表示されるメニューないの「セキュリティ認証情報」をクリックします。

2.
開いた『セキュリティ認証情報(ルートユーザー)』画面の「MFAを割り当てる」ボタンをクリックします。

3.
開いた『デバイスを選択』画面で「デバイス名」欄に任意のデバイス名を入力します。その後画面を下にスクロールします。


「MFAデバイスを選択」にて利用したいMFAデバイスを選択します。冒頭で記載した通り、今回はスマートフォンにMicrosoftが提供する「Microsoft Authenticator」という認証アプリを利用しますので、「認証アプリケーション」を選択して「次へ」ボタンをクリックします。

4.
『デバイスの設定』画面に遷移します。「互換性のあるアプリケーションのリストを表示」をクリックすると、利用可能な認証アプリケーションを確認できます。


開いた画面を下にスクロールすると、利用可能な認証アプリケーションの一覧が表示されています。Googleが提供する「Google Authenticator」も利用可能です。

5.
先程の『デバイスの設定』画面にて、「QRコードの表示」をクリックします。


QRコードが表示されますので、スマートフォン側で認証アプリケーションをダウンロードし、認証アプリケーションにてQRコードを読み取りましょう。


6.
スマートフォンで「Microsoft Authenticator」をダウンロードします。iPhoneの場合は『App Store』を開き、検索メニューで「authenticator」で検索して出てきた「Microsoft Authenticator」をタップします。

7.
「Microsoft Authenticator」のダウンロードボタンをタップします。

8.
ダウンロードした「Microsoft Authenticator」をタップして開始します。

9.
「Microsoft Authenticator」起動時は都度、iPhoneのパスコードを入力します。

10.
「アカウントを追加」ボタンをタップします。

11.
「その他(Google、Facebookなど)」をタップします。

12.
カメラへのアクセスを求められるので「OK」をタップします。カメラが起動したら手順5で表示させたQRコードを読み取ります。

13.
『Amazon Web Services』の設定が追加されれば成功です。表示される6桁の数字をログイン時に利用します。

14.
手順5の画面を下にスクロールし、「MFAコード1」の欄に手順13で表示される6桁の数字を入力します。続いて「MFAコード2」の欄に、再度手順13の画面で「MFAコード1」の欄に入力した数字の次に表示された数字を入力します。その後「MFAを追加」ボタンをクリックします。

15.
画面に緑色背景で「割り当て済みのMFAデバイス」とメッセージが表示されれば成功です。画面右上のアカウント名をクリックして表示されるメニューから「サインアウト」をクリックします。

16.
「もう一度ログインする」ボタンをクリックします。

17.
『サインイン』画面で「ルートユーザー」を選択し、ルートユーザーのメールアドレスを入力し、「次へ」ボタンをクリックします。

18.
「パスワード」欄にルートユーザーのパスワードを入力し、「サインイン」をクリックします。

19.
「Microsoft Authenticator」上で表示されるMFAコードを「MFAコード」欄に入力し「送信」ボタンをクリックします。ログインが成功すれば確認は完了です。
お疲れ様でした!

Amazon Web Servicesに登録する

 本記事では、Amazonが提供するクラウドコンピューティングサービスである、Amazon Web Services(以下AWS)に登録するまでの流れを解説します。

 AWSはクラウドコンピューティングサービスとして、仮想ネットワークや仮想マシン、データベース、Webアプリケーション実行環境などのサービスを、IaaS、PaaS、SaaSなどの様々な形で提供しています。
 同様のクラウドコンピューティングサービスとしてMicrosoftが提供するAzureや、Googleが提供するGoogle Cloud Platformもありますが、シェアは2023年1月段階でもAWSが1位でしょう。

◆ Amazon Web Servicesに登録する手順(2023年1月時点)

1.
アマゾン ウェブ サービス(AWS クラウド)- ホーム (amazon.com) にアクセスし、右上の「今すぐ無料サインアップ >>」ボタンをクリックします。

2.
『AWSにサインアップ』の画面で、「ルートユーザーのEメールアドレス」欄にメー
ルアドレスを、「AWSアカウント名」に任意のアカウント名を入力して、「確認コードをEメールアドレスに送信」ボタンをクリックします。

3.
AWSから『メールアドレスの検証』という内容のメールが届きます。メール内に記載の検証コードを控えておきます。

4.
手順2の画面から遷移した『Eメールアドレス認証による本人確認』画面の「確認コード」欄に、手順3で確認した検証コードを入力し、「確認を完了して次へ」ボタンをクリックします。

5.
『パスワードの作成』画面で、「ルートユーザーパスワード」欄に任意のパスワードを入力し、「ルートユーザーパスワードの確認」欄に再度パスワードを入力して、「次へ(ステップ 1/5)」ボタンをクリックいします。

6.
『連絡先情報』画面で、「ビジネス」または「個人」を選択します。今回は「個人」を選択します。「フルネーム」を入力、「電話番号」はプルダウンで国を選択したうえで入力、「国または地域」を選択、「住所」を入力します。「住所」欄は2つに分かれていますが特に入力方法に指定はありません。私は最初の欄に番地、次の欄に建物名といった感じで分けて記載しました。この後下にまだ欄があるのでスクロールしていきます。


画面を下にスクロールし、「市区町村」「州/都道府県または地域」「郵便番号」を入力します。「AWSカスタマーアグリーメントの条項を読み、同意します」のチェックを入れ、「次へ(ステップ 2/5)」ボタンをクリックします。

7.
『請求情報』画面で、「クレジットカードまたはデビットカード番号」を入力します。「有効期限日」についてカードの有効期限日をプルダウンで指定します。「カード保有者の氏名」を入力します。「請求先住所」は、手順6で入力した「連絡先住所を使用する」か、「新しい住所を使用する」を選択します。ここでは「連絡先住所を使用する」を選択しました。その後「確認して次へ -(ステップ 3/5)」ボタンをクリックします。

8.
『本人確認』画面で認証コードの受け取り方法を「テキストメッセージ(SMS)」または「音声通話」から選択します。ここでは「テキストメッセージ(SMS)」を選択しました。「国または地域コード」を選択し、「携帯電話番号」を入力します。


「セキュリティチェック」に表示された文字列を「上に表示された文字を入力してください」欄に入力し「SMSを送信する(ステップ 4/5)」ボタンをクリックします。

9.
『本人確認』画面で「コードを認証」欄に、SMSに届いたコードを入力して、「次へ(ステップ 4/5)」ボタンをクリックします。

10.
『サポートプランを選択』画面でサポートプランを選択します。サポートプラン内容の説明を読み、必要なサポートプランを選択しましょう。私は「ベーシックサポート – 無料」を選択しました。下にスクロールします。


サポートプランを選択したら、「サインアップを完了」ボタンをクリックします。

11.
『おめでとうございます』の画面で「AWSマネジメントコンソールへ進む」ボタンをクリックします。

12.
『サインイン』画面で「ルートユーザー」を選択し、手順2で設定した「ルートユーザーのメールアドレス」を入力し、「次へ」ボタンをクリックします。

13.
「パスワード」欄に手順5で設定したルートユーザーのパスワードを入力し、「サインイン」をクリックします。

14.
以下の画面がでればマネジメントコンソールへのログインが完了です。
お疲れさまでした!