とりあえず、ルートアカウントは
で、最初の保護はできました。
とはいえ、頻繁にルートアカウントでアクセスを行うのは危険です。
ですので、アクセスするためユーザー(アカウント)を別に作りましょう。
管理用ユーザーを作る
管理者(AdministratorAccess)権限をもった、新規のユーザー(アカウント)を作成します。
作成する新規のユーザー(アカウント)もまた、強い権限をもつため、すぐに多要素認証(MFA)で、2段階認証の設定まで行います。
新規にユーザーを作る
1.IAM (Identity and Access Management)「サービス」メニューをクリック
2.表示されたサービス群から、「セキュリティ、ID、およびコンプライアンス」にある「IAM」をクリック
3.IAM 設定画面の「個々の IAM ユーザーの作成」を開き、「ユーザーの管理」ボタンをクリック
4.ユーザーの管理画面に切り替わるので、「ユーザーを追加」ボタンをクリック
5.「ユーザーを追加」画面になるので
- 「ユーザー名*」に、任意のユーザー名を記入
- 「AWS マネジメントコンソールへのアクセス」にチェック
- 「パスワードのリセットが必要」にチェックを入れる
- 「次のステップ:アクセス権限」ボタンをクリック
6.「アクセス許可の設定」の画面になるので、「グループの作成」ボタンをクリック
7.「グループの作成」ダイアログが開くので
- 「グループ名」に、管理者用のグループ名を記入
- 「ポリシーのフィルタ」で「AdministratorAccess」に、いったんチェック
- 「グループの作成」ボタンをクリック
8.「ユーザーの追加」画面に戻るので、7.で追加したグループにチェックが入っていることを確認して、「次のステップ:タグ」ボタンをクリック
9.「タグの追加(オプション)」画面が表示されますが、なにもせずに「次のステップ:確認」ボタンをクリック
10.「確認」画面に遷移するので、そのまま「ユーザの作成」ボタンをクリック
11.ユーザが作成が成功すると、アクセス情報が表示されるので
- アクセスのURL
- ユーザ名
- パスワード(表示させてから)
をメモして、「閉じる」ボタンをクリック
管理用ユーザーを二段階認証にする!
追加したユーザーの権限もハイレベルのため、多要素認証(MFA)で二段階認証にします
1.ユーザー作成が終わるとユーザ管理画面に戻るので、追加したユーザー名をクリック
2.ユーザーの概要画面が表示されるので「認証情報」タブを選択して、「MFA デバイスの割り当て」にある「管理」をクリック
3.「MFA デバイスの管理」ダイアログが表示されるので、「仮想 MFA デバイス」を選択(デフォルトで選択済み)して、「続行」ボタンをクリック
4.「仮想 MFA デバイスの設定」ダイアログが表示されるので、「QR コードの表示」をクリック
5.QR コードが表示されるので、「仮想 MFA アプリケーション」のいずれかで、QRコードをキャプチャする。
使用可能な仮想 MFA アプリケーション(iPhone & Android)
- Authy ( Android / iPhone )
- Duo Mobile ( Android / iPhone )
- LastPass Authenticator ( Android / iPhone )
- Microsoft Authenticator ( Android / iPhone )
- Google Authenticator ( Android / iPhone )
今回は、Google Authenticator を使いました。表示された6桁の数字を連続した2回分を使います
6.仮想MFAアプリケーションに、表示されたMFAコード(連続した2回分)を「MFAコード1」「MFAコード2」に記入して、「MFAの割り当て」ボタンをクリック
7.「仮想 MFA が正常に割り当てられました」の表示ダイアログに代わるので、「閉じる」ボタンをクリック
8.ユーザー概要画面の「認証情報」タブの「MFA デバイスの割り当て」エリアに、デバイス情報が登録されていればOK、完了です。
これでとりあえず、アクセス用のユーザー(アカウント)作成ができました。
一度、AWS マネジメントコンソールから、ログアウトしてアクセスしてみましょう。
コメント