IAMユーザのMFAデバイスにYubikeyを使ってみた

こんにちは、9月もあっという間だったディーネットの山田です。

と言っても、9月に夏季休暇をいただいたので、通常より出勤していた日数が少ないです。

夏季休暇は、SysOps受験に向けての勉強やDatadogと戯れていました。

個人的にリザーブドインスタンスを購入して、その枠を使ってZabbixを立ててAWS環境を監視しているのでDatadogに乗り換えるのは少し先になりそう...

さて、いつも通り表題とは関係ないネタから始める私ですが、今回はYubikeyをIAMユーザに紐づけてみましたので、紹介したいと思います。

Yubikeyとは？

米国・スウェーデンに本拠地を置くYubico(ユビコ)社が提供する2段階認証を行う際に使用可能なハードウェア認証デバイスのことです。
ワンタイムパスワード(OTP)、公開鍵暗号と認証やU2Fプロトコルなど色々なセキュリティープロトコルを対応しています。

2段階認証って数字が表示されるワンタイムパスワードってやつ？

皆さん、2段階認証と聞くとスマートフォンのアプリで数秒置きに何桁かの数字が入れ替わるもののことをイメージされることが多いと思いますが、YubikeyはPCのUSBポート等に接続して要求されたらボタンとポチっと押すだけで認証が終わります。

購入したYubikey

今回、私が購入したYubikeyは、"YubiKey 5 NFC"というものになります。
私は、プライム会員なら御用達のAmazonさんで購入しました。

私の環境

ブラウザは、Chromeになります。
OSは、Macになります。

実際にIAMユーザにYubikeyを登録してみる

Yubikeyを割り当てたいIAMユーザの設定画面を開きます

• 開いたら、"MFAデバイスの割り当て"にある"管理"をクリックします。
  

MFAデバイスの割り当て画面に遷移出来たら"U2Fセキュリティキー"を選択します

• 選択したら、"続行"をクリックします。
  

画面の指示に従います

• 手元にあるYubikeyをPCのUSBポートに差し込みます。
• Yubikeyのゴールドディスク面をタップします。
  ※私の場合ゴールドディスク面にあるLEDが点滅してくれました。
  

ブラウザから許可を求められるので許可します

すると一瞬で設定が完了します

設定後改めてMFAデバイスの割り当て画面に遷移します

• MFAデバイスの割り当てにARNとU2Fセキュリティキーが表示されていることを確認します。
  

YubikeyはこのままPCのUSBポートに挿し込んだままでもよいですが、一旦外しましょう

Yubikeyを使ってAWSマネジメントコンソールにログインする

一旦サインアウトしてから先ほどのIAMユーザでサインインします

MFAの要求がされるので、画面の指示に従います

• 手元にあるYubikeyをPCのUSBポートに差し込みます。
• Yubikeyのゴールドディスク面をタップします。
  ※私の場合ゴールドディスク面にあるLEDが点滅してくれました。
  

使ってみた感想

良い所

• AWSマネジメントコンソールへのログインにいちいちスマートフォンでワンタイムパスワードを見なくてよくなった。

悪い所

• スマートフォンのワンタイムパスワードの場合、スマートフォンのロックである程度守られている感があるが、Yubikeyの場合は物理的にアクセスできれば使えてしまう。
• AWS CLIやモバイルのAWSアプリでは対応していないので、モバイルのAWSアプリからのアクセスには従来通り、ワンタイムパスワードが必要になる。

参考サイト

• AWS でサポートされている U2F デバイス
• What is a YubiKey？
• YubiKeyと多要素認証

追伸

別途ストラップを購入して、首から掛けれるようにしておくと紛失しにくいと思います。