ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

【AWS re:Inforce】 - AWS Identity and Access Management が 2 番目の認証要素としてパスキーをサポートするようになりました

こんにちは、AWS チームの尾谷です。

先ほど AWS の新 CISO の Chris Betz さんによる AWS re:Inforce 2024 の Keynote が終わりました。
いくつかアップデートがありましたが、本ブログでは以下の Passkey が 2 つめの MFA デバイスとして利用できるようになったアップデートをご紹介したいと思います。  

※ 速報レベルの情報です。情報に誤りがあればお知らせください。適宜、ブログを修正します。

これまで AWS SSO だと Passkey による 2 段階認証が利用できましたが、今回のアップデートで IAM でも利用できるようになりました。

Passkey は、MacBook や Apple のキーボードに搭載された指紋認証 (Touch ID)や、Windows に搭載された Hello 顔認識などを使った認証のことで、AWS の MFA で採用されている FIDO (ファイド) 認証に対応しています。

AWS の What's New にもアップされていました。

aws.amazon.com

本ブログでは、設定してみた結果をアウトプットしてみたいと思います。

FIDO (ファイド) 認証に関して

ご存知の方も多いと思いますが、FIDO 認証は これまでも Yubico 社の YubiKey などが利用できました。
FIDO 認証は、クライアントで生体認証を行い、サーバー側にクレデンシャル情報を送らないため非常にセキュアな認証方式として注目を集めています。

YubiKey の場合

(追記)YubiKey の設定方法をご紹介します。

re:Invent に参加した際に EXPO でいただいた YubiKey を使って、FIDO 認証を行いましたので追加でご紹介します。

YubiKey は USB Type-A のタイプだと、別途 Type-C 変換が必要になるケースがあります

IAM 管理コンソールから、多要素認証 (MFA) にある MFA デバイスの追加 ボタンをクリックします。

MFA デバイスを選択の画面になるので、パスキーまたはセキュリティキーを選択して [次へ] ボタンをクリックします。

[パスキーを作成する] のダイヤログが表示されました。

この時、Mac Studio に差し込んだ YubiKey が点滅していました。

指で触れると、ブラウザに以下のメッセージが表示されました。
[許可する] をクリックすると、設定が完了しました。

MacBookPro の Touch ID を設定してみた

早速、出張用 の MacBookPro についている Touch ID を AWS の MFA に設定してみました。

こんな感じで、IAM 管理コンソールから、セキュリティ情報タブを開いて設定しました。

ちなみに、現在、IAM ユーザーには MFA デバイスを最大 8 つで登録することができます。

動作確認

準備が整ったので、サインインしてみます。
アカウント名を入力して、IAM ユーザー、パスワードを入力して、サインインボタンをクリックしました。

すると、追加の認証が必要と表示がされました。長らく 6 桁の MFA コードを入力してきたので違和感があります。

「このメソッドを覚えてください。」のチェックボックスにチェックを入れておくと、次回からその認証がデフォルトになり聞かれなくなります。

セキュリティキーを選択して、次へボタンをクリックすると Touch ID のモーダルウィンドウが表示されます。

Touch ID に指を当てると認証されて AWS マネジメントコンソールにサインインできました。

まとめ

いかがでしたでしょうか。

個人的には非常に簡単で、且つ効果的なアップデートだと感じます。

AWS は今年中に Root ユーザーの MFA が必須化されるということで、更にセキュリティに対する取り組みが強化される予定です。
まだ、FIDO 認証を取り入れていない方は、Authenticator を利用するよりもはるかにスムーズな MFA を体験してみてください!

aws.amazon.com