AWS管理画面へのログインに二段階認証（Multi-Factor Authentication）を導入する

AWSの様々な操作ができるマネジメントコンソールはとても便利です。しかし、もし万が一、不正アクセスを受けてしまうと取り返しのつかない状況になってしまいます。

デフォルトでは、メールアドレスとパスワードによる認証になっていますが、MFAというスマートフォンなどのデバイスとAWSを連動させて二段階の認証を行う方法に変更することで、セキュリティを高めることができます。

ただ、その連携させたデバイスが壊れてしまったり、紛失してしまったりすると、自身もログインができなくなってしまいます。いくら堅牢とはいえ、これは少し気がかりですので、本記事ではこの問題への対応策も合わせて記載しています。


※ご注意※
二段階認証の設定は、ミスをしてしまうとAWSにログインできなくなってしまう可能性があります。またこの方法が、他の環境でも同じようにうまくいくのかの確認はとっていません。設定はすべて自己責任でお願いします。

デバイスの準備

本記事は、iPhone あるいは iPod Touch を前提に記載しています。正確には、iPhoneアプリとして配布されている Google Authenticator を認証キー（６桁の数字）の表示に使います。Android版もあるようなので、本記事の方法で設定できる可能性はありますが、確認はとれていません。

Apple Store から、Google Authenticator をダウンロードして、インストールしてください。（こちらから）

AWSマネジメントコンソールでMulti-Factor Authenticationを設定

二段階認証の設定は、AWS Multi-Factor Authentication（http://aws.amazon.com/jp/mfa/）により行います。通常のログイン方法で管理コンソールにアクセスして、IAMの画面に進みます。


IAMの画面の Security Status に Root Account MFA という箇所があります。ここが、Disabled となっていると思います。これは、二段階認証にはなっていないことを意味しています。


１．設定を行うために Manage MFA Device をクリックします。

２．二段階認証のためのデバイスを選択します。ここでは、専用のハードウェアではなく、スマートフォンを使いますので、A virtual MFA device を選択して、continue をクリックします。

３．次にスマートフォンへ認証キーを表示するためのアプリケーションをインストールするようにメッセージが表示されますが、先にインストールしていますので、continue をクリックします。

４．デバイスと連携させるためのシークレットキーがQRコードで表示されています。ここで、

 Hide secret configuration key を押して、シークレットキーを表示させ、メモをとって大切に保管してください。

これがデバイスを失った時に必要な情報になります。

メモをとったら、Click here to enable your device をクリックします。



５．次に、iPhone にインストールした Google Authenticator を起動します。右下のプラスアイコンを押すと、トークンを追加する画面になります。アカウントとキーを入力する欄がありますが、QRコードから読み取るボタンを押せば入力は不要です。コードが読めないなど、手入力するときは、アカウントにAWSにログインする時に使っているメールアドレス、キーに先ほどメモをしたシークレットキーを入力してください。

６．登録を完了すると、画面に六桁の数字が表示されるようになります。この数字は、一定時間が経過する毎に変わっていくと思います。これが二段階認証で使う認証キーです。

７．これで準備は整いましたので、この認証キーを二つ使ってAWSとデバイスを連携させます。まず、いままさに表示されている認証６桁の数字を 認証コード#1 欄に入力します。その後、しばらく待って次の６桁の数字が表示されたら、その数字を 認証コード#2 欄に入力して、認証デバイスをアクティベートをクリックします。

８．入力値に問題がなければ、AWSとデバイスが連携されます。

デバイス喪失への備え

１．ここからは、いざというときの備えになります。冒頭で書きましたが、デバイスの喪失への対応として、ウェブ版の Google Authenticator を準備します。Git からファイルがダウンロードできますので、 こちらから Git にアクセスしてZIPをクリックしてください。

２．ダウンロードしたアーカイブを解凍すると、展開されたフォルダに index.html があります。それをブラウザで表示してください。ウェブサーバーにあげる必要はありません。ローカルでそのまま実行できます。iPhone版のGoogle Authenticator と同じようにトークンが追加できます。左上のプラスボタンを押してください。

３．iPhone と同様にアカウントのメールアドレスとセキュリティキーを入力して、Add を押します。

デバイスとブラウザで同じ数字が表示されていれば、正常に登録できています。なお、このウェブ版 Google Authenticator は、デバイスに問題が出た場合への備えですので、普段はセキュリティキーと共に安全な場所に保管しておいてください。

Paypal Here（ペイパルヒア）をiPod Touchで使ってみた。を書きたいと思った。

Paypal Here（ペイパルヒア）をご存知だろうか？これは、スマートフォンがクレジットカードの決済端末として使えるようになるサービスで、1,200円の機器とPaypalアカウントだけでクレジット決済を受け付けることができるようになる。

初期投資をほとんど必要とせず、カード会社による審査も無いので、小規模事業者にとっては信じられないくらいに有難いサービスだ。

日本では、ソフトバンクとPaypalが合弁会社を立ち上げ、2012年9月から地域限定で販売を開始していたが、このほど全国のソフトバンクプレミアムショップでも購入ができるようになった。

いつもながら新しいサービスの提供の速度が素晴らしいソフトバンク。しかし、この革命的なサービスを、革命的であるが故に、ソフトバンク１社独占というのは非常に残念に感じてしまう。かといって、ドコモに期待していても「世間ではなんたらヒア（笑）とかいうのが話題だが、おさいふ機能の方がよい」などと意味不明な供述をしており－状態であっただろう。

ちなみに筆者は、ドコモのガラケー（ワンセグ無、GPS無）＋iPod touchで生活しているドコモ・ラブ暦１０年超のヘビーユーザーである。このスタイルを貫き通しているのは、キャリアチェンジにいまさら感があること、一族郎党、嫁の兄の嫁の母親までもが筆者中心に家族割に囲い込まれてしまっていること、そして誰よりもガラケー＋iPhod Touchが持つ、その計り知れないメリットに気付いいるからだ。




さて、ここからが本題である－

このPaypal Hereを iPod Touch で使うことはできないのか？実際、Paypal Hereのアプリをダウンロードして起動してみると問題なく動作するではないか。これは、胸熱な展開。

次に必要なのが、クレジットカードリーダーだ。しれっとソフトバンクショップに行って話を聞いてみると、やはりソフトバンクのスマートフォンでないと購入できないらしい。さらにショップの中でもプレミアムショップというところでなくてはならないそうだ。ソフトバンクショップやってる人を紹介してもらって裏から入手するしかないか－というアイデアが一瞬頭をよぎるが、これだと自慢げにシェアできなくなってしまう。誰もがやればできる方法でなければならない。

そこで思いついたのが、中古である。もしかしたら、オークションに出回っているのではないか。探してみると国内には無かったが、eBayの海外マーケットに出品されているのを発見した！しかも新品だ。きたよ、コレ。

しかし、そのほとんどは送料込みで7,000円前後と高い。1,200円ですからね・・・日本だと。ただ、各国のマーケットを転々としてるうちに3,000円台で購入できる一品を発見。早速、日本に送ってもらえるか問合わせするも、無理とのご回答。負けじと粘り強く他を探していると、ありました！日本へ配送OKな出品で、3,000円台でゲットできそうなやつが。即決は少し高かったので、セコく入札を入れる。あとは、落札を待つのみである。


入札期限までの時間的余裕からか、海外とのやりとりを続けていたからなのか、ふと「Paypalの設定をUSに切り替えれば、この方法ってオッケーなのか直接アメリカ本社に質問できるんじゃね？（日本側に聞いたらダメっていいそうだけど、もしかしたら…）」という、コロンブスの卵的というか、なぜ最初っからこっちをやらなかったのかというアイデアが浮かび、早速コンタクトしてみることに。


筆者：

素晴らしいサービスをありがとうございます。 日本からメールしています。
こちらでは、ソフトバンクモバイルのサービスとしてPaypal Hereが利用可能になっていて、ソフトバンクでしかカードリーダーが買えませんが、もし海外からリーダーを買えば、それを使えますか？ソフトバンク以外で購入したリーダーを使うことって認められてますか？

Paypal：

Paypalに連絡をくれてありがとう。デミだよ。お返事おくれてゴメンね。君のサービスへの質問に対応できて嬉しいよ。

１．海外で買ったリーダーを使えるか？
　　申し訳ないけど、使うことがでないかもしれない。各国の事情に準じた制限設定があるんだ。

２．Paypalとしては、ソフトバンクじゃない端末の使用は認めてるの？
　　ソフトバンクで契約した端末だけ使うことができる。つまり、ソフトバンク以外を使うことは許されてない。

不便をかけて申し訳ないけど、理解してもらいたい。Thanks.

デミの優しさなのか、読みようによっては動くことは動くの？と受け取れなくも無い（そう受け止めたい）回答に見えるのは、単に自身の英語力の問題であろうと思います。仮に、残された方法が何かあったとしても、それは裏道なことはハッキリとしたので、Paypalからのペナルティを考えると怖くてビジネスには使えない。


さて、こうなると問題はまだ入札の続くeBayである。たしか、こっちの都合ではキャンセルできなかったハズなんですけど・・・。