Toolkit for Visual Studio での多要素認証 (MFA) の使用 - AWS Toolkit for Visual Studio

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Toolkit for Visual Studio での多要素認証 (MFA) の使用

MFA では、さらなるセキュリティが追加されます。AWS ウェブサイトもしくはサービスにアクセスするときに、ユーザーは、通常のサイイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を求められるためです。

AWS は、MFA 認証用の仮想デバイスおよびハードウェアデバイスの両方のレンジをサポートします。ここで説明する例は、スマートフォンアプリケーションで有効になっている仮想 MFA デバイスです。MFAデバイスオプションの詳細については、IAM ユーザーガイドの「AWS での多要素認証 (MFA) の使用」を参照してください。

ステップ 1: IAM ユーザーにアクセス権を委任するための IAM ロールの作成

このタスクではIAM が IAM ユーザーにアクセス許可を委任することを許可するロールの委任を使用します。まず、MFA でサインインする必要がある IAM ロールを定義します。特定の AWS のサービスにアクセス許可を付与するロールをポリシーにアタッチします。次に、始める権限がない IAM ユーザーを作成します。ただし、次いで AssumeRole オペレーションを含むポリシーをユーザーにアタッチします。これによりロールのすべてのアクセス許可をそのユーザーに委任します。

  1. https://console.aws.amazon.com/iam/home の IAM コンソールに移動します。

  2. ナビゲーションバーで [Roles] (ロール) を選択した後、[Create Role] (ロールの作成) を選択します。

  3. [Create role] (ロールの作成) ページで、[Another AWS account] (もう 1 つの AWS アカウント) を選択します。

  4. 必要な [Account ID] (アカウント ID) を入力し、[Require MFA] (MFA が必要な) チェックボックスをオンにします。

    注記

    12 桁のアカウント ID 番号を確認するには、コンソールのナビゲーションバーで [Support][Support Center] の順に選択します。

  5. [Next: (次へ:)] を選択します アクセス許可.

  6. 既存のポリシーをロールにアタッチするか、新しいポリシーを作成します。このページで選択するポリシーによって、IAM ユーザーがツールキットでアクセスできる AWS サービスのうち、どれが受けられるか決まります。

  7. ポリシーをアタッチしたら、次へ: タグロールに IAM タグを追加するオプションについては、を参照してください。続いて、[次へ] を選択します。確認] を選択して続行します。

  8. [Review] (確認) ページで、必須の [Role name] (ロール名) (例えば、toolkit-role) を入力します。オプションの [Role description] (ロールの説明) 値を追加することもできます。

  9. [Create role] (ロールの作成) を選択します。

  10. 確認メッセージ (「ロール toolkit-role が作成されました」など) が表示されたら、メッセージ内のロールの名前を選択します。

  11. [Summary] (概要) ページで、[Copy] (コピー) アイコンを選択して [Role ARN] (ロールの ARN) にコピーし、ファイルに貼り付けます。この ARN は、ロールを引き受けるように IAM ユーザーを設定するときに必要です。

ステップ 2: ロールのアクセス許可を引き受ける IAM ユーザーの作成

このステップでは、まずアクセス許可なしで IAM ユーザーを作成します。次いで、前の手順で作成したロール (およびそのロールのアクセス許可) をユーザーが引き受けることを許可するインラインポリシーを作成します。

IAM ユーザーを作成するには

  1. https://console.aws.amazon.com/iam/home の IAM コンソールに移動します。

  2. ナビゲーションバーで、 [Users] (ユーザー)、[Add user] (ユーザーを追加する) の順に選択します。

  3. [Add user] (ユーザーの追加) ページで必要な [User name] (ユーザー名) (例えば、toolkit-user) を入力し、[Programmatic access] (プログラムによるアクセス) チェックボックスをオンにします。

  4. [Next: (次へ:)] を選択します アクセス許可,次へ: タグ, および次へ: 確認をクリックして次のページに移動します。ユーザーがロールの権限を引き受けるため、この段階では権限を追加しません。

  5. [Review] (確認) ページでは、[This user has no permissions] (このユーザーにはアクセス許可がありません) という旨が通知されます。[Create user] (ユーザーの作成) を選択します。

  6. [Success] (成功) ページで、[Download .csv] (.csv をダウンロード) を選択して、アクセスキー ID およびシークレットアクセスキーを含むファイルをダウンロードします。(認証情報ファイルのプロファイルを定義する場合は、両方とも必要です。)

  7. [Close] (閉じる) を選択します。

IAM ユーザーがロールを引き受けることを許可するポリシーを追加するには

  1. IAM コンソールの [Users] (ユーザー) ページで、作成した IAM ユーザー (例えば、toolkit-user) を選択します。

  2. [Summary] (概要) ページの[Permissions] (アクセス許可) タブで [Add inline policy] (インラインポリシーの追加 を選択します。

  3. [Create policy] (ポリシーの作成) ページで、[Choose a service] (サービスを選択) を選択し、[Find a service] (サービスを探す) で [STS] を入力し、結果から [STS] を選択します。

  4. を使用する場合アクション、用語を入力し始めるAssumeRole。をマークしますAssumeRoleが表示されたら、チェックボックスをオンにします。

  5. [Resource] (リソース) セクションで、[Specific] (特定) が選択されていることを確認し、アクセスを制限するため [Add ARN] (ARN の追加) を選択します。

  6. [Add ARN(s)] (ARN を追加する) ダイアログボックスの [Specify ARN for role] (ロールの ARN を指定します) にステップ 1 で作成したロールの ARN を追加します。

    ロールの ARN を追加すると、そのロールに関連付けられた信頼済みアカウントおよびロール名が [Account] (アカウント) および [Role name with path] (パス付きのロール名) に表示されます。

  7. [Add] (追加) を選択します。

  8. [Create policy] (ポリシーの作成) ページに戻り、[Specify request conditions (optional)] (リクエスト条件の指定 (オプション)) を選択し、[MFA required] (MFA が必要) チェックボックスをオンにしてから、確認するため [Close] (閉じる) を選択します。

  9. [Review poilicy] (ポリシーの確認) を選択します。

  10. [Review poilicy] (ポリシーの確認) ページで、ポリシーの [Name] (名前) を入力してから [Create policy] (ポリシーの作成) を選択します。

    [Permissions] (アクセス許可) タブには、IAM ユーザーに直接アタッチされた新しいインラインポリシーが表示されます。

ステップ 3: IAM ユーザーの仮想 MFA デバイスの管理

  1. 仮想 MFA アプリケーションをスマートフォンにダウンロードしてインストールします。

    サポートされているアプリケーションのリストについては、「多要素認証」リソースページを参照してください。

  2. IAM コンソールで、ナビゲーションバーから、ユーザーを選択し、ロールを引き受けるユーザーを選択します (今回は toolkit-user)。

  3. [Summary] (概要) ページで [Security credentials] (セキュリティ認証情報) タブを選択し、[Assigned MFA device] (割り当てられた MFA デバイス) に対して [Manage] (管理) を選択します。

  4. [Manage MFA device] (MFA デバイスの管理) ぺーンで、[Virtual MFA device] (仮想 MFA デバイス)、[Continue] (続行) の順に選択します。

  5. [Set up virtual MFA device] (仮想 MFA デバイスの設定) ペインで [Show QR code] (QR コードを表示する) を選択してからスマートフォンにインストールした仮想 MFA アプリケーションを使用してコードをスキャンします。

  6. QR コードをスキャンすると、仮想 MFA アプリケーションはワンタイムの MFA コードを生成します。[MFA code 1] (MFA コード 1) および [MFA code 2] (MFA コード 2) に 2 つの連続したMFAコードを入力します。

  7. [Assign MFA] (MFA の割り当て) を選択します。

  8. ユーザーの [Security credentials] (セキュリティ認証情報) タブに戻り、新しく[Assigned MFA device] (割り当てられた MFA デバイス) のARNをコピーします。

    ARN には 12 桁のアカウント ID が含まれ、形式は次の ARN のようになります。arn:aws:iam::123456789012:mfa/toolkit-user。 この ARN は、次のステップで MFA プロファイルを定義するときに必要になります。

ステップ 4: MFA を許可するプロファイルの作成

このステップでは Toolkit for Visual Studio のユーザーが AWS のサービスにアクセスする際に MFA を使用できるようにするプロファイルを作成します。

作成したプロファイルには、前の手順でコピーして保存した 3 つの情報が含まれています。

  • IAM ユーザーのアクセスキー (アクセスキー ID およびシークレットアクセスキー)

  • IAM ユーザーにアクセス許可を委任しているロールの ARN

  • IAM ユーザーに割り当てられている仮想 MFA デバイスの ARN

AWS 認証情報を含む AWS 共有認証情報ファイルまたは SDK ストアで、次のエントリを追加します。

[toolkit-user] aws_access_key_id = AKIAIOSFODNN7EXAMPLE aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY [mfa] source_profile = toolkit-user role_arn = arn:aws:iam::111111111111:role/toolkit-role mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

この例では、次の 2 つのプロファイルが定義されています:

  • [toolkit-user] プロファイルには、ステップ 2 で IAM ユーザーを作成したときに生成され、保存されたアクセスキーおよびシークレットアクセスキーが含まれます。

  • [mfa] プロファイルは、多要素認証のサポート方法を定義します。3 つのエントリがあります:

    source_profile: このプロファイル内のこの role_arn 設定で指定されたロールを継承するために使用される認証情報のプロファイルを指定します。この場合は、toolkit-user プロファイルです。

    role_arn: このプロファイルを使用してリクエストされた操作の実行に使用する IAM ロールの Amazon リソースネーム (ARN) を指定します。この場合、ステップ 1 で作成したロールの ARN です。

    mfa_serial: ロールを引き受けるときに使用する必要がある MFA デバイスの ID もしくはシリアル番号を指定します。この場合、ステップ 3 で設定した仮想デバイスの ARN です。