さて、cloud9にもだいぶ慣れてきたのですが、こう頻繁にAWSを使っているとMFA認証が煩わしくなってきました。
AWSのベストプラクティスとして推奨されているMFA認証ですが、スマホにインストールしたgoogle認証アプリを使っているものだから
という恐しい罠によくはまるんですよ・・・orz
AWS以外でMFAは使っていないので、以前はこの罠も月に1、2度くらいのものでしたが、さすがに1日1回はひっかかるようになってきたので こちらのハードウェアMFAデバイスを導入してみました。
色々と並んでいますが、私が買ったのは左から2番目に表示されているyubico社製のYubiKeyという製品です。
AWSのページからはamazon.comの製品ページにリンクされていますが、リンク先にあるYubiKey4という製品は"Currently unavailable"となってました。 しかし、YubiKey自体は国内ではソフト技研さんが代理店として取り扱っているようで、amazon.co.jpでも普通に売ってました。
Yubico セキュリティキー - U2F / FIDO2, USB-A, 2段階認証
- 出版社/メーカー: Yubico
- メディア: Personal Computers
- この商品を含むブログを見る
NFCが付いてたり、すごい小さいのがあったりと、色々バリエーション豊富なんですが、うちのスマホNFC非対応だし小さいと紛失する可能性が高くなるので*1旧バージョンらしきこちらの製品にしてみました。
AWSでの設定方法
こちらの公式ドキュメントに書いてある手順に従って進めていきます。
一部和訳が進んだせいか、[My Security Credentials] が「マイセキュリティ資格情報」に進化してますが*2とりあえず進んでいって、一旦MFAの設定を削除すると、MFAデバイスをセットアップできるようになります。しかし、なんとサファリは非対応とのこと。
Firefoxで同じページまで行くと、「U2F セキュリティキー」が選べるようになるのですが、今度はこの画面でYubiKeyをタップしても先に進めません。
トラブルシューティングのドキュメントへリンクが貼ってあったのでそちらを見てみると、firefoxは設定変更が必要な可能性が高いとのことでした。
こちらの設定変更を行なって、Firefoxを一度再起動すると、さきほどの画面でYubiKeyを挿した時点でキーのインジケータが点滅します。後はウィザードの指示どおりKeyをタップすると設定完了です。
この状態からgoogle chromeでマネジメントコンソールのページにアクセスすると、いつものユーザ名やパスワード入力画面の後で、こんな画面が表示されます。
そして、ドヤ顔しながらKeyを軽く触わると、ログインできてマネジメントコンソールへ移ります。
しかし、safariで同じことをやろうとすると、
うーむ残念。まぁこういう状況のようなので、そのうち使えるようになるでしょう。
それよりもモバイルブラウザが全滅なので、iPadからログインできなくなったのがちょっと痛いところです。
AWS consoleアプリを入れておけば、アクセスキー&シークレットアクセスキーでアクセスできるんですが、このアプリからではcloud9は使えないので私の用途には合いませんでしたorz