2021年1月18日 / 最終更新日 : 2022年12月9日 MikoshibaHiroyuki セキュリティ

AWS認証にPC版Authyを使い、予備用デバイスも用意。その設定方法。

AWSアカウントの認証デバイスとして、スマホで多要素認証にしておくと、そんなにルートでログインする機会が多いわけでもないのに、管理的な措置が必要になると、ルート権限で操作しなければならなくなり、その時に認証デバイスにしているスマホがないと作業が止まってしまって、案外不便なんですよね。 さらに認証デバイスにした端末がなにかの拍子に破損してしまうこともあるし、スマホ交換時にアプリごと消してしまったり、私は実際に破損して、AWSサポートにお世話になったこともあり、その怖さが身に染みています。 そこで、私が勧める対策というのが、AuthyというPC版もある認証アプリを使う方法です。 ひとつ前の投稿で利点をあげましたが、次の点がポイントです!!

  • Authy内部のデータがセキュアにインターネット上にバックアップされるため、アプリの設定が飛んだり、iPhone自体が壊れた場合にも、電話番号とパスワードで復旧が可能です。
  • あるデバイスに用意した認証設定を別のスマホやWinパソコンなどにコピーすることができる。
  • スマホ電話番号を初期設定する必要があるが、パソコンだけで認証が完了するようにセットアップできる

で、すでにAWSアカウントのログインにAuthyを使って、ログインする様子を投稿しましたが、今回はAuthyの設定ポイントです。 追加で、バックアップパスワードを設定して、認証情報をバックアップして、認証情報をコピーして、予備用の認証デバイスを作ります。 これで何かで認証デバイスが壊れて、AWSアカウントに入れなくなって、「いつAWSサービスが復旧するんだろう」「このまま直らなくて、サービス費用が凄く増大したらどうしよう」「そもそもアクセスする手段あるのかな?」と不安いっぱいになるのを防げます。 実際にAWSサポートのお助けで、MFAロックを外してもらったので、最悪大丈夫なのは知っているんですけどね!

パスワードを設定して、バックアップ

最初にAWSアカウントに多要素認証でログインするために設定したPCのAuthyを開いて、「Settinng」→「Accounts」とクリックします。
Account画面で、「Authenticator Encrypted Backups」の 「Enable」をクリックして、認証情報のバックアップを有効にします。
バックアップパスワードを要求されますので、設定します。 入力したら、「Enable」をクリック
再入力を求められますので、もう一度同じパスワードを入力して、「Enable」をクリック
認証情報のバックアップが行われて、2つ設定されているアカウント「MIKOLABO-FIRST」「MIKO-SERVICES-SECOND」とも認証情報がバックアップされました。

認証情報をコピーして、予備用の認証デバイスを登録する

予備の認証デバイスを用意します。 今回は、別のパソコンを用意して、認証デバイスの2台目にします。 パソコンにAuthyをインストールして画面を立ち上げ、2台目デバイスなので、「Existing Device」をクリックします。
元となる認証デバイスが認証情報を表示している状態で2台目のデバイスを登録する操作になるので、1台目の元となるデバイスが表示されていない状態では注意メッセージが表示される。
左が元となる、既にAWSアカウントのMFAデバイスとなっているPCのAuthyです。 右の予備デバイスとするPCのAuthyを起動し、電話番号は、1台目の登録時に設定した番号を入力すると、左のイメージのように元デバイスには「新しいデバイスを加えて良いか?」と聞かれるので、「OK」を入力して、「Confirm Device」をクリック ※リモート接続して新デバイスのPCリモート画面上に元のAuthy画面を重ねてキャプチャーした。
左の、既に認証デバイスとなっているPCのAuthyには認証情報が表示された。右の予備デバイスとするPCのAuthyで、2台に共通する登録電話番号を入力した状態で「Next」をクリックすると
左のAuthyは認証の6桁の数字を表示させた。 右のAuthyは画面展開されるが、「Account」の画面に遷移すると
すでに認証情報は両方のAuthyで同期されていて、同じ6桁の数字が表示された。

最後の同じ画面が表示されたところは、若干の操作をしたかも知れませんが、難しいことすることなく同じ画面になった感じです。 この後は、AWSに戻って、IAM設定とネットワークの設定に遷っていきます。

Authyで困ったときのTIPS

Authy が初期画面に戻った!

たまに、Authyを起動したときに、初期化していないのに、初期で表示される電話番号の画面が出てくることがあります。このとき、複数のウィンドウに隠れて、ワーニングメッセージが表示されていることがあります。これに「OK」を答えると元のトークンを表示するいつもの画面に戻ります。 慌てて、そのまま初期化して、AWSのMFA管理の操作からやり直したこともあったので、注意です。

Authyの認証情報を復活させたい!

最近、Authyの認証情報を復活できることがわかりました! MFAを登録したときの「仮想MFAデバイスの設定」で表示される「シークレットコード」をメモっておきます。
これをAuthyの「Token」クリック時に、⊕ボタンから、表示される画面で、 「Enter Code given by the website」の入力エリアに設定して、「Add Account」で アカウント登録できます。

AWS TIPS はこちら!

カテゴリー
セキュリティ仮想システム
タグ
セキュリティ

前の記事

AWSアカウントにMFA(多要素認証)を適用する
2021年1月18日
仮想システム

次の記事

AWSのIAM設定(Identity and Access Management )
2021年1月19日