試運転ブログ

コーラは一日一本まで

AWS ConsoleのMFAにYubikeyを使えるようになったので雑に調べた

Twitterを眺めていたら以下の記事を見かけました。

Sign in to your AWS Management Console with YubiKey Security Key for Multi-factor Authentication (MFA)

AWSのコンソールのログインにYubikeyをMFAとして使用できるようになったようです。

サクッとどんなものか見てみました。

IAMのユーザ画面

MFAを有効にしたいアカウントの管理画面です。

f:id:otameshi61:20180926100048p:plain

MFA デバイスの管理

MFAデバイスの割り当ての管理を押すと、U2Fセキュリティキーで、Yubikeyが選択できそうなことがわかります。

f:id:otameshi61:20180926100210p:plain

Yubikeyの登録

続行を押すと、以下の画面が表示されます。Yubikeyをタップすると、Chromeに許可するか確認され、許可をすると情報が送信されます。これで登録は完了です。簡単!

f:id:otameshi61:20180926100455p:plain

ログイン

IDとパスワードを入力後に以下の画面に遷移してタップを求められるようになりました。タップすれば入れます。

f:id:otameshi61:20180926101143p:plain

以下、気になったことです。

気になったこと: 登録できるデバイス数は?

ひとつのIAMアカウントに対して登録できるMFAデバイスは1つなので、バックアップ用などに複数Yubikeyを持ってる場合は、それごとにIAMアカウントを作成して登録する必要がありそうです。

気になったこと: Yubikey以外のU2F対応デバイスは使えるのか?

U2Fは公開されたプロトコルで、U2Fを実装しているデバイスはいろいろあります。最近、Googleが出したTitan Security Keysなどもその一つです。

手元にあった飛天の出してるデバイスとU2F ZEROというデバイスで登録を試してみましたが、登録時に、

{"errors":[{"message":"Attestation Certificate is not valid. ","code":"U2fDeviceUnauthorizedException","httpStatus":401,"__type__":"ErrorMessage"}]}

とのことで証明書エラーが返されて使用できませんでした。使えるメーカーを限定してるのはちょっと残念です。

気になったこと: AWS CLIからでも使えるのか?

サポートページをみる感じだと今のところ使えないようです。コマンドラインからU2F使うのはいろいろ工夫がいりそうな印象を持っているので今後もあまり期待できないかもです。

docs.aws.amazon.com

所感

記事のタイトルからして、U2Fに対応したんだろうな、ということは何となく予想できましたが、Yubikeyに限定したタイトルなのはどういうことだろうと思い情報を追ってみました。限定している点はちょっと残念ですが、個人的にはYubikeyを持っているのでMFAが使いやすくなって良かったです。