はじめに

せっかく MacBookPro に Touch ID がついているのでこれを用いてログインを安全にしたい。

AWS IAM Identity Center の設定

AWS IAM Identity Center の設定から認証のタブを開き設定を行う。

上記画面の多要素認証を設定する。

MFA のプロンプトをユーザーに表示

MFA のプロンプトをユーザーに表示を「サインインコンテキストが変更された場合のみ (コンテキスト対応)」にする。「サインインコンテキストが変更された場合のみ (コンテキスト対応)」は普段ログインしている端末のブラウザや IP を記録して、普段使っていない端末からのログイン時に MFA が表示される。

パスワード認証に比べると相当安全になると思う。

ユーザーはこれらの MFA タイプで認証できます

「セキュリティキーと組み込みの認証ツール」と「Authenticator アプリケーション」を有効化する。これで、TouchID やワンタイムパスワード認証アプリなどで MFA が設定出来る。

登録された MFA デバイスをユーザーが持っていない場合

登録された MFA デバイスをユーザーが持っていない場合については、「サインイン時に E メールで送信されるワンタイムパスワードの入力を要求する」を設定する。これは、普段の MacBookPro 以外でもメールの番号打てばログイン出来るようにする。

MFA デバイスを管理できるユーザー

「ユーザーは自分の MFA デバイスを追加および管理できる」を有効化する。これで MFA の端末を自分で変更出来る。

おわりに

AWS で SSO を運用する際の最低限のセキュリティ設定を実施した。