こんにちは、AWS チームの尾谷です。
先ほど AWS の新 CISO の Chris Betz さんによる AWS re:Inforce 2024 の Keynote が終わりました。
いくつかアップデートがありましたが、本ブログでは以下の Passkey が 2 つめの MFA デバイスとして利用できるようになったアップデートをご紹介したいと思います。
※ 速報レベルの情報です。情報に誤りがあればお知らせください。適宜、ブログを修正します。
これまで AWS SSO だと Passkey による 2 段階認証が利用できましたが、今回のアップデートで IAM でも利用できるようになりました。
Passkey は、MacBook や Apple のキーボードに搭載された指紋認証 (Touch ID)や、Windows に搭載された Hello 顔認識などを使った認証のことで、AWS の MFA で採用されている FIDO (ファイド) 認証に対応しています。
AWS の What's New にもアップされていました。
本ブログでは、設定してみた結果をアウトプットしてみたいと思います。
FIDO (ファイド) 認証に関して
ご存知の方も多いと思いますが、FIDO 認証は これまでも Yubico 社の YubiKey などが利用できました。
FIDO 認証は、クライアントで生体認証を行い、サーバー側にクレデンシャル情報を送らないため非常にセキュアな認証方式として注目を集めています。
MacBookPro の Touch ID を設定してみた
早速、出張用 の MacBookPro についている Touch ID を AWS の MFA に設定してみました。
こんな感じで、IAM 管理コンソールから、セキュリティ情報タブを開いて設定しました。
ちなみに、現在、IAM ユーザーには MFA デバイスを最大 8 つで登録することができます。
動作確認
準備が整ったので、サインインしてみます。
アカウント名を入力して、IAM ユーザー、パスワードを入力して、サインインボタンをクリックしました。
すると、追加の認証が必要と表示がされました。長らく 6 桁の MFA コードを入力してきたので違和感があります。
「このメソッドを覚えてください。」のチェックボックスにチェックを入れておくと、次回からその認証がデフォルトになり聞かれなくなります。
セキュリティキーを選択して、次へボタンをクリックすると Touch ID のモーダルウィンドウが表示されます。
Touch ID に指を当てると認証されて AWS マネジメントコンソールにサインインできました。
まとめ
いかがでしたでしょうか。
個人的には非常に簡単で、且つ効果的なアップデートだと感じます。
AWS は今年中に Root ユーザーの MFA が必須化されるということで、更にセキュリティに対する取り組みが強化される予定です。
まだ、FIDO 認証を取り入れていない方は、Authenticator を利用するよりもはるかにスムーズな MFA を体験してみてください!
