HPCメモ

HPC(High Performance Computing)に関連したりしなかったりすることのメモ書き

YubiKey

さて、cloud9にもだいぶ慣れてきたのですが、こう頻繁にAWSを使っているとMFA認証が煩わしくなってきました。

AWSのベストプラクティスとして推奨されているMFA認証ですが、スマホにインストールしたgoogle認証アプリを使っているものだから

  1. MFAでの認証画面が出る
  2. スマホを取り出す
  3. なんか通知が来てる
  4. twitter やらfacebookやらをつい見てしまう。
  5. ・・・あれ今何してたっけ?

という恐しい罠によくはまるんですよ・・・orz

AWS以外でMFAは使っていないので、以前はこの罠も月に1、2度くらいのものでしたが、さすがに1日1回はひっかかるようになってきたので こちらのハードウェアMFAデバイスを導入してみました。

aws.amazon.com

色々と並んでいますが、私が買ったのは左から2番目に表示されているyubico社製のYubiKeyという製品です。

AWSのページからはamazon.comの製品ページにリンクされていますが、リンク先にあるYubiKey4という製品は"Currently unavailable"となってました。 しかし、YubiKey自体は国内ではソフト技研さんが代理店として取り扱っているようで、amazon.co.jpでも普通に売ってました。

NFCが付いてたり、すごい小さいのがあったりと、色々バリエーション豊富なんですが、うちのスマホNFC非対応だし小さいと紛失する可能性が高くなるので*1旧バージョンらしきこちらの製品にしてみました。

AWSでの設定方法

こちらの公式ドキュメントに書いてある手順に従って進めていきます。

docs.aws.amazon.com

f:id:n_so5:20190401230922p:plain

一部和訳が進んだせいか、[My Security Credentials] が「マイセキュリティ資格情報」に進化してますが*2とりあえず進んでいって、一旦MFAの設定を削除すると、MFAデバイスをセットアップできるようになります。しかし、なんとサファリは非対応とのこと。

f:id:n_so5:20190401231423p:plain

Firefoxで同じページまで行くと、「U2F セキュリティキー」が選べるようになるのですが、今度はこの画面でYubiKeyをタップしても先に進めません。

トラブルシューティングのドキュメントへリンクが貼ってあったのでそちらを見てみると、firefoxは設定変更が必要な可能性が高いとのことでした。

docs.aws.amazon.com

こちらの設定変更を行なって、Firefoxを一度再起動すると、さきほどの画面でYubiKeyを挿した時点でキーのインジケータが点滅します。後はウィザードの指示どおりKeyをタップすると設定完了です。

この状態からgoogle chromeでマネジメントコンソールのページにアクセスすると、いつものユーザ名やパスワード入力画面の後で、こんな画面が表示されます。

f:id:n_so5:20190401233758p:plain

そして、ドヤ顔しながらKeyを軽く触わると、ログインできてマネジメントコンソールへ移ります。

しかし、safariで同じことをやろうとすると、

f:id:n_so5:20190401234836p:plain

うーむ残念。まぁこういう状況のようなので、そのうち使えるようになるでしょう。

applech2.com

それよりもモバイルブラウザが全滅なので、iPadからログインできなくなったのがちょっと痛いところです。

AWS consoleアプリを入れておけば、アクセスキー&シークレットアクセスキーでアクセスできるんですが、このアプリからではcloud9は使えないので私の用途には合いませんでしたorz

*1:たいして小さくもないRSA SecurIDのトークンでも1回紛失騒動を起こしたことがありまして・・・

*2:どうしてマイをつけちゃったんだw