AWS ConsoleのMFAにYubikeyを使えるようになったので雑に調べた
朝Twitterを眺めていたら以下の記事を見かけました。
AWSのコンソールのログインにYubikeyをMFAとして使用できるようになったようです。
サクッとどんなものか見てみました。
IAMのユーザ画面
MFAを有効にしたいアカウントの管理画面です。
MFA デバイスの管理
MFAデバイスの割り当ての管理を押すと、U2Fセキュリティキーで、Yubikeyが選択できそうなことがわかります。
Yubikeyの登録
続行を押すと、以下の画面が表示されます。Yubikeyをタップすると、Chromeに許可するか確認され、許可をすると情報が送信されます。これで登録は完了です。簡単!
ログイン
IDとパスワードを入力後に以下の画面に遷移してタップを求められるようになりました。タップすれば入れます。
以下、気になったことです。
気になったこと: 登録できるデバイス数は?
ひとつのIAMアカウントに対して登録できるMFAデバイスは1つなので、バックアップ用などに複数Yubikeyを持ってる場合は、それごとにIAMアカウントを作成して登録する必要がありそうです。
気になったこと: Yubikey以外のU2F対応デバイスは使えるのか?
U2Fは公開されたプロトコルで、U2Fを実装しているデバイスはいろいろあります。最近、Googleが出したTitan Security Keysなどもその一つです。
手元にあった飛天の出してるデバイスとU2F ZEROというデバイスで登録を試してみましたが、登録時に、
{"errors":[{"message":"Attestation Certificate is not valid. ","code":"U2fDeviceUnauthorizedException","httpStatus":401,"__type__":"ErrorMessage"}]}
とのことで証明書エラーが返されて使用できませんでした。使えるメーカーを限定してるのはちょっと残念です。
気になったこと: AWS CLIからでも使えるのか?
サポートページをみる感じだと今のところ使えないようです。コマンドラインからU2F使うのはいろいろ工夫がいりそうな印象を持っているので今後もあまり期待できないかもです。
所感
記事のタイトルからして、U2Fに対応したんだろうな、ということは何となく予想できましたが、Yubikeyに限定したタイトルなのはどういうことだろうと思い情報を追ってみました。限定している点はちょっと残念ですが、個人的にはYubikeyを持っているのでMFAが使いやすくなって良かったです。