📖
AWSのIAMユーザーのMFAにパスキーを設定する際はユーザー名が同じだと上書きされる?
AWSのMFAとしてパスキーが利用できるようになったので、これは便利とパスキーに移行していたのですが、一部のアカウントでパスキーが利用できなくなるという現象に遭遇。。。
あれ?と思い、保存されているパスキーを確認したところ、設定したはずのパスキーの数が足りない。。。
よく見るとパスキーはドメインとユーザー名のセットで保存されているようで、ユーザー名が同一だったために上書きされた模様。(推測になりますが。
※2024/08/29時点の情報になります。
AWS用に保存されたパスキーを確認
AWSのパスキーを確認してみると、
パスキーはaws.amazon.com
というドメインと、ユーザー名のセットで保存されている。
ルートユーザーに設定したパスキーはarn:aws:iam::アカウントID:root
のようになっているので重複はしないようですが、IAMユーザーに設定したパスキーはユーザー名のみで登録されるみたいです。
今回パスキーが利用できなくなったのは、同じシステム用に開発、検証とアカウントIDが別でユーザー名は同じというもの。
環境 | アカウントID | ユーザー名 |
---|---|---|
開発環境 | 700000000001 | user1 |
検証環境 | 700000000002 | user1 |
イメージとしてはこんな感じ。
これの開発環境のユーザーにパスキーを設定し、利用できることを確認。
その後、検証環境のユーザーにパスキーを設定し、利用できることを確認。
そして再度、開発環境のAWSマネコンにログインしようとしたら、パスキーが無いと。。。
開発環境用が検証環境用のパスキーで上書きされた?という流れです。
※ユーザー名が同じでも違うパスキーとして扱うようにもできたはずではありますが。
↑これは、ユーザー側の設定ではなく、システム側の設定です。
なので、ユーザーとしてはどうにもできないはず。
そのうち修正されるように気はしますが、ご注意ください。
Discussion