作業用ユーザーを作り、二段階認証で守る

手順に迷ったときや、用語の意味を確かめたいときに開きましょう。

※ リンク切れの場合は、ページタイトルで検索してください。

「何でもできるルート」はしまっておき、「必要な権限だけの作業用ユーザー」を普段使いにします。そのユーザーのログインを、パスワード＋ワンタイムコードの二段階で守ります。

以下の要件を満たし、作った IAM ユーザーで二段階認証ログインができることを確認してください。

「ユーザーを作る → 権限を付ける → 二段階認証を有効にする → そのユーザーで入り直す」の順に進みます。最後に自分でログインして確かめるところまでがゴールです。

1. ルートユーザーでサインインし、IAM コンソールを開く

   最初に作ったルートユーザーでマネジメントコンソールにサインインします。画面上部の検索バーに IAM と入力して、IAM コンソールを開きます。

   最初の 1 回だけルートを使う

   作業用ユーザーをまだ持っていない今だけ、ルートで作業します。このユーザーを作り終えたら、以降の作業はそちらに切り替えていく、というのが安全な進め方です。

2. IAM ユーザーを作成する（コンソールアクセスを有効に）

   左メニュー「ユーザー」→「ユーザーの作成」を開きます。ユーザー名に my-iam-user を入力し、「マネジメントコンソールへのユーザーアクセスを提供する」にチェックを入れます。パスワードを設定し（自動生成でも可）、画面の案内に従って進めます。

   サインイン情報は控えておく

   作成の最後に、サインイン用の URL・ユーザー名・パスワードが表示されます。あとでこのユーザーでログインするので、メモするか、表示される情報を保存しておきましょう。

3. 権限（ポリシー）を付ける

   権限の設定画面で、「ポリシーを直接アタッチする」を選び、一覧から ReadOnlyAccess を検索してチェックを入れます。これで「見ることはできるが、変更はできない」権限になります。そのまま進めてユーザーを作成します。

   まずは最小限から

   権限は、必要なものだけを少しずつ付けるのが安全の基本です（最小権限）。今回は学習なので、まず安全な「閲覧のみ」を付けました。実際の作業で操作が必要になったら、その都度ふさわしい権限を足していきます。

4. そのユーザーに二段階認証（MFA）を有効にする

   作成したユーザーを開き、「セキュリティ認証情報」タブ →「MFA デバイスの割り当て」を選びます。「認証アプリ（Authenticator app）」を選び、表示されるQR コードをスマホの認証アプリで読み取ります。アプリに表示される6 桁のコードを、続けて 2 回入力して登録します。

   MFA デバイスの割り当て — デバイスの選択（イメージ）

   MFA デバイスの種類

   認証システム（authenticator app）

   スマホの認証アプリで QR コードを読み取る

   セキュリティキー

   物理的な USB キーなどを使う

   ハードウェア TOTP トークン

   専用のハードウェア機器を使う

   ↳スマホの認証アプリだけで用意できるので、今回はこれを選びます

   コードは 2 回続けて入力

   登録では、アプリに表示される連続した 2 つのコードを入力します。コードは時間で変わるので、1 つ目を入れたら、次に切り替わったコードを 2 つ目として入力します。あわてず、表示が変わるのを待ちましょう。

5. サインアウトして、IAM ユーザーで入り直す

   画面右上からサインアウトします。手順 2 で控えたサインイン URL（または「IAM ユーザー」としてのサインイン）から、ユーザー名・パスワードを入力し、続けてスマホのワンタイムコードを入力します。無事に入れれば、二段階認証つきの作業用ユーザーの完成です。

   ここが本番の確認

   「パスワードだけでなく、スマホのコードも求められる」「両方そろうと入れる」——これを自分で体験することが、このハンズオンのいちばん大事なポイントです。

初学者がよく引っかかる箇所を先回りでまとめました。答えそのものは載せていませんが、「どこを見直せばよいか」の手がかりとして使ってください。

要件の再確認ではなく、画面のどこを見れば達成を確認できるかをまとめました。IAM コンソールとサインイン画面で、次を順に確かめましょう。

• IAM の「ユーザー」一覧に、作成したユーザー（例：my-iam-user）がある。
• そのユーザーの「許可」に、ReadOnlyAccess などの権限（ポリシー）が付いている。
• そのユーザーの「セキュリティ認証情報」に、MFA デバイスが割り当て済みと表示されている。
• サインアウト後、IAM ユーザーとしてサインインでき、その際にワンタイムコードを求められた。
• パスワードとコードの両方を入れて、マネジメントコンソールに入れた。

手を動かすことに加えて、次の問いに自分の言葉で答えられるようにしておくと、理解がより深まります。

1. 普段の作業を、ルートユーザーではなく IAM ユーザーで行うのはなぜでしょうか。もしルートで作業し続けると、どんなリスクがあるか考えてみましょう。
   ヒント

   ルートは何でもできるぶん、漏れたときの被害が最大になります。普段使いを「必要な権限だけの合鍵」にしておけば、万一漏れても被害を限定でき、ルート（親鍵）は安全にしまっておけます。「被害を小さく保つ」という観点で考えてみましょう。
2. 二段階認証（MFA）は、「パスワードが漏れても安全」とよく言われます。なぜパスワードだけより安全なのか、2 つの要素の性質の違いから説明してみましょう。
   ヒント

   パスワードは「知っているもの」、スマホのコードは「持っているもの」です。攻撃者がパスワードを盗めても、あなたのスマホまでは手元にありません。2 種類の異なるものを両方そろえる必要がある、という点が安全さの理由です。
3. 今回は学習のため「閲覧のみ」の権限を付けました。実際に作業するユーザーには、どんな考え方で権限を決めるとよいでしょうか。「とりあえず全部できる権限」にしない理由も考えてみましょう。
   ヒント

   必要な操作だけを許可する「最小権限」が基本です。全部できる権限にすると、誤操作や乗っ取りのときの被害が大きくなります。「その人（その用途）がやることに必要な権限だけ」を足していく、という観点で考えてみましょう。

IAM ユーザーや MFA は料金がかからないため、今回作ったユーザーは、これからの作業用にそのまま残しておくのがおすすめです。練習用として消したい場合だけ、次のように片づけます。

1. 残す場合（おすすめ）：作った IAM ユーザーは、今後の作業の入口として使い続けられます。ルートユーザーは、これ以降は基本的に使わず、大切にしまっておきましょう。
2. 消す場合：IAM の「ユーザー」一覧で対象を選び、「削除」します（MFA デバイスも一緒に外れます）。ただし、これが唯一の作業用ユーザーなら、消すと普段使いの入口がなくなる点に注意します。