おれさまラボの実験ノート

実際に手を動かして理解を深めるブログ。

AWS IAMユーザーにMFAを割り当てる方法

はじめに

いままでよくわからずIAMユーザーでログインしていたのですが、MFA(2要素認証)に対応していませんでした。ルートアカウントはMFA対応済みです。AWSの薄い本 IAMのマニアックな話を読んで、改めてMFAの必要性を認識したので設定してみました。

設定方法

IAMの変更権限をもったIAMユーザーでAWSマネジメントコンソールにサインインします。

AWSマネジメントコンソールから [IAMダッシュボード] に移動します。左ペインのメニューからユーザーを選択して、変更対象のユーザーを選択します。

[認証情報] タブから [MFAデバイスの割り当て] の [管理] ボタンをクリックします。

今回は Google Authenticator を使って MFA を実現するので、[仮想MFAデバイス] を選択します。

参考:Google 認証システムのインストール - Android - Google アカウント ヘルプ

なお、2020年5月時点で仮想MFAとして利用できる製品は以下のとおりです。

参考:IAM - Multi-factor Authentication

QRコードの表示をクリックしてQRコードを表示します。Google Authenticatorの方で [+] ボタン > [バーコードをスキャン] をタップして先程表示したバーコードを読み取ります。うまく読み取れれば、Google AuthenticatorにAWSのIAMユーザーが登録されます。MFAコードが30秒に1回更新されるのでMFAコード1と2に、それぞれ別のコードを入力します。最後に [MFAの割り当て] をクリックします。

成功するとこのような画面が表示されます。

AWSマネジメントコンソールから一度サインアウトして対象のIAMユーザーで再度サインインします。このとき、MFAを問われればOKです。

以上