🔐
AWS IAM Identity Center (AWS SSO)でログイン時にTouch IDのMFAを有効化する。
はじめに
せっかくMacBookProにTouch IDがついているのでこれを用いてログインを安全にしたい。
AWS IAM Identity Centerの設定
AWS IAM Identity Centerの設定から認証のタブを開き設定を行う。
上記画面の多要素認証を設定する。
MFA のプロンプトをユーザーに表示
MFA のプロンプトをユーザーに表示を「サインインコンテキストが変更された場合のみ (コンテキスト対応)」にする。「サインインコンテキストが変更された場合のみ (コンテキスト対応)」は普段ログインしている端末のブラウザやIPを記録して、普段使っていない端末からのログイン時にMFAが表示される。
パスワード認証に比べると相当安全になると思う。
ユーザーはこれらの MFA タイプで認証できます
「セキュリティキーと組み込みの認証ツール」と「Authenticator アプリケーション」を有効化する。これで、TouchIDやワンタイムパスワード認証アプリなどでMFAが設定出来る。
登録された MFA デバイスをユーザーが持っていない場合
登録された MFA デバイスをユーザーが持っていない場合については、「サインイン時に E メールで送信されるワンタイムパスワードの入力を要求する」を設定する。これは、普段のMacBookPro以外でもメールの番号打てばログイン出来るようにする。
MFA デバイスを管理できるユーザー
「ユーザーは自分の MFA デバイスを追加および管理できる」を有効化する。これでMFAの端末を自分で変更出来る。
おわりに
AWSでSSOを運用する際の最低限のセキュリティ設定を実施した。
Discussion