AWSのルートユーザーのアカウントにMFA(他要素認証)の設定をしてみました。AWSの管理コンソールに「MFAが割り当てられていません」の表示が出たままだったので、MFAデバイスの設定をします。
「MFAを割り当てる」を押下するとデバイスの設定の画面になります。認証方法にパスキーが使えるようなので、任意のデバイス名を入力してパスキーを選択しました。
ところが「このデバイスでパスキーを作成するか、別のデバイスを使用している場合は今すぐ接続してください」となっています。使用していたパソコンは認証をさせるような機能はなく、また別の認証デバイスも持っていなかったのでキャンセルをしたら「セキュリティキーを登録できません」となってしまいました。。
仕方がないのでスマホでAWSの管理コンソールにサインインしてやってみました。スマホの場合、パスキーのデバイスの選択が表示されたので「このデバイス」を選択して進めたのですが、理由はわかりませんが「セキュリティキーの登録中にエラーが発生しました」となり、スマホでも設定ができませんでした。。
残念ながらパスキーでは無理なようなので認証アプリケーションのほうにします。認証アプリケーションではスマホに認証アプリが必要です。Google Authenticatorをスマホにインストールしました。AWSの管理コンソールを操作しているのはパソコンの方です。
Google Authenticatorのスクリーンショットを載せておこうと思ったのですが、Authenticatorのスクリーンショットを撮ってもスマホ画面が真っ黒になってしまいます。セキュリティアプリのためかそういう仕様なのだと思います。ですので、Authenticatorのスクリーンショットはありません。
認証アプリケーションを選択するとデバイスの設定の画面になります。QRコードを表示させてスマホで読み取ります。
そうすると、Google Authenticatorのほうにセキュリティーコードが表示されます。これを画面に入力します。2回の入力が必要でスマホのほうで待っているとセキュリティーコードの表示が変わります。
「MFAを追加」を押下するとMFAの設定が完了します。識別子のところに追加されたデバイスが表示されます。
管理コンソールからサインアウトして、もう一度サインインをしてみます。今まで通り、ルートユーザーのメールアドレス、および、パスワードを入力した後にMFAコードの入力が求められるようになりました。
Authenticatorに表示されているセキュリティコードを入力して送信を押下すると、無事サインインができました。