AWSで多要素認証 (MFA)、所謂二段階認証を設定する方法です。
MFAの設定についてはいろいろ記事がありますが、機種変でアプリを移したときの対応と、ルートアカウントと一般ユーザーで操作が違ったところで迷ったりしたので書きました。
目次
多要素認証 (MFA)を設定する
まず最初に設定する方法です。
セキュリティ認証情報からMFAを設定する
ルート AWS アカウントの場合はログインした後、自分のアカウントをクリックすると出てくるメニューに「セキュリティ認証情報」があります。その場合はそちらから設定できます。
クリックするとIAMに移動します。
「多要素認証(MFA)」を開き、「MFAの有効化」をクリックします。
MFAデバイスを選択します。スマホで認証をするので、今回は「仮想MFAデバイス」を選択します。
認証用画面が表示されるので、QRコードを表示させて二段階認証用アプリに読み込ませます。
Androidであれば、例えば「Google 認証システム」アプリが使用できます。
アプリにQAコードを読み込ませて、表示されたコードを2つ、MFAコード1と2に入力して「MFAの割り当て」をクリックすると完了します。
2つめのコードが表示されるまで待っていないといけないのが少しもどかしいです。
IAMのユーザーからMFAを設定する
一般ユーザーの場合は「セキュリティ認証情報」は表示されないようなので、IAMより設定します。
「IAM > ユーザー」から自分のアカウントを検索して開きます。
「認証情報」のタブを開き、「MFA デバイスの割り当て」の横にある「管理」をクリックします。
「MFAデバイスの管理」ダイアログが出てくるので、後は「セキュリティ認証情報からMFAを設定する」と同様に設定します。
MFAを再登録する
機種変更で端末を替えたときなど、別のアプリに認証を移したいときは、認証を一旦削除します。
セキュリティ認証情報からMFAを削除して再設定する
「セキュリティ認証情報」の「多要素認証(MFA)」を開くと、登録されているMFA認証が表示されます。
横にある「管理」をクリックすると、「MFAデバイスの管理」ダイアログが表示されるので「削除」を選択して実行します。
MFAが無効になるため、「セキュリティ認証情報からMFAを設定する」の手順で、新しいデバイスに設定します。
IAMのユーザーからMFAを削除して再設定する
IAMのユーザーから「認証情報」を開くと、MFAが設定されているときは割り当てられたARNが表示されます。
その横にある「管理」をクリックすると、「MFAデバイスの管理」ダイアログが表示されますので、「削除」を選択して実行します。
後は「IAMのユーザーからMFAを設定する」の手順で、新しいデバイスに設定します。