はじめに

せっかくMacBookProにTouch IDがついているのでこれを用いてログインを安全にしたい。

AWS IAM Identity Centerの設定

AWS IAM Identity Centerの設定から認証のタブを開き設定を行う。

上記画面の多要素認証を設定する。

MFA のプロンプトをユーザーに表示

MFA のプロンプトをユーザーに表示を「サインインコンテキストが変更された場合のみ (コンテキスト対応)」にする。「サインインコンテキストが変更された場合のみ (コンテキスト対応)」は普段ログインしている端末のブラウザやIPを記録して、普段使っていない端末からのログイン時にMFAが表示される。

パスワード認証に比べると相当安全になると思う。

ユーザーはこれらの MFA タイプで認証できます

「セキュリティキーと組み込みの認証ツール」と「Authenticator アプリケーション」を有効化する。これで、TouchIDやワンタイムパスワード認証アプリなどでMFAが設定出来る。

登録された MFA デバイスをユーザーが持っていない場合

登録された MFA デバイスをユーザーが持っていない場合については、「サインイン時に E メールで送信されるワンタイムパスワードの入力を要求する」を設定する。これは、普段のMacBookPro以外でもメールの番号打てばログイン出来るようにする。

MFA デバイスを管理できるユーザー

「ユーザーは自分の MFA デバイスを追加および管理できる」を有効化する。これでMFAの端末を自分で変更出来る。

おわりに

AWSでSSOを運用する際の最低限のセキュリティ設定を実施した。