Toolkit for Visual Studio での多要素認証 (MFA) - AWS Toolkit for Visual Studio
ステップ 1: IAM ユーザーにアクセス権を委任するための IAM ロールの作成ステップ 2: ロールのアクセス許可を引き受ける IAM ユーザーの作成ステップ 3: IAM ユーザーがロールを引き受けることを許可するポリシーを追加するステップ 4: IAM ユーザーの仮想 MFA デバイスの管理ステップ 5: MFA を許可するプロファイルの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Toolkit for Visual Studio での多要素認証 (MFA)

多要素認証 (MFA) は、 AWS アカウントのセキュリティを強化するものです。MFA では、ユーザーが AWS Web サイトまたはサービスにアクセスするときに、ログイン認証情報と、 AWS サポートされている MFA メカニズムからの固有の認証情報を入力する必要があります。

AWS MFA 認証用のさまざまな仮想デバイスとハードウェアデバイスの両方をサポートします。以下にスマートフォンアプリケーションを通じて有効化された仮想 MFA デバイスの例を示します。MFAデバイスオプションの詳細については、IAM ユーザーガイドの「AWSでの多要素認証 (MFA) の使用」を参照してください。

ステップ 1: IAM ユーザーにアクセス権を委任するための IAM ロールの作成

以下の手順では、IAM ユーザーにアクセス許可を割り当てるロールの委任を設定する方法について説明します。ロールの委任の詳細については、「AWS Identity and Access Management ユーザーガイド」の「IAM ユーザーにアクセス許可を委任するロールの作成」トピックを参照してください。

  1. https://console.aws.amazon.com/iam/home の IAM コンソールに移動します。

  2. ナビゲーションバーで [Roles] (ロール) を選択した後、[Create Role] (ロールの作成) を選択します。

  3. [Create role] (ロールの作成) ページで、[Another AWS account] (もう 1 つの AWS アカウント) を選択します。

  4. 必要な [Account ID] (アカウント ID) を入力し、[Require MFA] (MFA が必要な) チェックボックスをオンにします。

    注記

    12 桁のアカウント ID 番号を確認するには、コンソールのナビゲーションバーで [Support][Support Center] の順に選択します。

  5. [次のステップ: アクセス許可] を選択します。

  6. 既存のポリシーをロールにアタッチするか、新しいポリシーを作成します。このページで選択するポリシーによって、IAM ユーザーが Toolkit AWS を使用してアクセスできるサービスが決まります。

  7. ポリシーをアタッチしたら、ロールに IAM タグを追加するオプションのために、[Next: Tags] (次へ:タグ) を選択します。[Next: Review] (次へ: 確認) を選択して続行します。

  8. [Review] (確認) ページで、必須の [Role name] (ロール名) (例えば、toolkit-role) を入力します。オプションの [Role description] (ロールの説明) 値を追加することもできます。

  9. [ロールを作成] を選択します。

  10. 確認メッセージ (「ロール toolkit-role が作成されました」など) が表示されたら、メッセージ内のロールの名前を選択します。

  11. [Summary] (概要) ページで、[Copy] (コピー) アイコンを選択して [Role ARN] (ロールの ARN) にコピーし、ファイルに貼り付けます。この ARN は、ロールを引き受けるように IAM ユーザーを設定するときに必要です。

ステップ 2: ロールのアクセス許可を引き受ける IAM ユーザーの作成

このステップでは、インラインポリシーを追加できるように、アクセス許可のない IAM ユーザーを作成します。

  1. https://console.aws.amazon.com/iam/home の IAM コンソールに移動します。

  2. ナビゲーションバーで、 [Users] (ユーザー)、[Add user] (ユーザーを追加する) の順に選択します。

  3. [Add user] (ユーザーの追加) ページで必要な [User name] (ユーザー名) (例えば、toolkit-user) を入力し、[Programmatic access] (プログラムによるアクセス) チェックボックスをオンにします。

  4. [Next: Permissions] (次へ: アクセス許可)、[Next: Tags] (次へ: タグ)、[Next: Review] (次へ: 確認) の順に選択して、次ページに移動します。ユーザーがロールの権限を引き受けるため、この段階では権限を追加しません。

  5. [Review] (確認) ページでは、[This user has no permissions] (このユーザーにはアクセス許可がありません) という旨が通知されます。[ユーザーの作成] を選択します。

  6. [Success] (成功) ページで、[Download .csv] (.csv をダウンロード) を選択して、アクセスキー ID およびシークレットアクセスキーを含むファイルをダウンロードします。(認証情報ファイルのプロファイルを定義する場合は、両方とも必要です。)

  7. [閉じる] を選びます。

ステップ 3: IAM ユーザーがロールを引き受けることを許可するポリシーを追加する

次の手順では、ユーザーがロール (およびそのロールのアクセス許可) を引き受けることを許可するインラインポリシーを作成します。

  1. IAM コンソールの [Users] (ユーザー) ページで、作成した IAM ユーザー (例えば、toolkit-user) を選択します。

  2. [Summary] (概要) ページの[Permissions] (アクセス許可) タブで [Add inline policy] (インラインポリシーの追加 を選択します。

  3. [Create policy] (ポリシーの作成) ページで、[Choose a service] (サービスを選択) を選択し、[Find a service] (サービスを探す) で [STS] を入力し、結果から [STS] を選択します。

  4. [アクション] には、用語の入力を開始します。AssumeRoleAssumeRoleチェックボックスが表示されたら、チェックマークを付けます。

  5. [Resource] (リソース) セクションで、[Specific] (特定) が選択されていることを確認し、アクセスを制限するため [Add ARN] (ARN の追加) を選択します。

  6. [Add ARN(s)] (ARN を追加する) ダイアログボックスの [Specify ARN for role] (ロールの ARN を指定します) にステップ 1 で作成したロールの ARN を追加します。

    ロールの ARN を追加すると、そのロールに関連付けられた信頼済みアカウントおよびロール名が [Account] (アカウント) および [Role name with path] (パス付きのロール名) に表示されます。

  7. [追加] を選択します。

  8. [Create policy] (ポリシーの作成) ページに戻り、[Specify request conditions (optional)] (リクエスト条件の指定 (オプション)) を選択し、[MFA required] (MFA が必要) チェックボックスをオンにしてから、確認するため [Close] (閉じる) を選択します。

  9. [Review poilicy] (ポリシーの確認) を選択します。

  10. [Review poilicy] (ポリシーの確認) ページで、ポリシーの [Name] (名前) を入力してから [Create policy] (ポリシーの作成) を選択します。

    [Permissions] (アクセス許可) タブには、IAM ユーザーに直接アタッチされた新しいインラインポリシーが表示されます。

ステップ 4: IAM ユーザーの仮想 MFA デバイスの管理

  1. 仮想 MFA アプリケーションをスマートフォンにダウンロードしてインストールします。

    サポートされているアプリケーションのリストについては、「多要素認証」リソースページを参照してください。

  2. IAM コンソールで、ナビゲーションバーから、ユーザーを選択し、ロールを引き受けるユーザーを選択します (今回は toolkit-user)。

  3. [Summary] (概要) ページで [Security credentials] (セキュリティ認証情報) タブを選択し、[Assigned MFA device] (割り当てられた MFA デバイス) に対して [Manage] (管理) を選択します。

  4. [Manage MFA device] (MFA デバイスの管理) ぺーンで、[Virtual MFA device] (仮想 MFA デバイス)、[Continue] (続行) の順に選択します。

  5. [Set up virtual MFA device] (仮想 MFA デバイスの設定) ペインで [Show QR code] (QR コードを表示する) を選択してからスマートフォンにインストールした仮想 MFA アプリケーションを使用してコードをスキャンします。

  6. QR コードをスキャンすると、仮想 MFA アプリケーションはワンタイムの MFA コードを生成します。[MFA code 1] (MFA コード 1) および [MFA code 2] (MFA コード 2) に 2 つの連続したMFAコードを入力します。

  7. MFA の割り当てを選択します。

  8. ユーザーの [Security credentials] (セキュリティ認証情報) タブに戻り、新しく[Assigned MFA device] (割り当てられた MFA デバイス) のARNをコピーします。

    ARN には 12 桁のアカウント ID が含まれ、形式は次の arn:aws:iam::123456789012:mfa/toolkit-user のようになります。この ARN は、次のステップで MFA プロファイルを定義するときに必要になります。

ステップ 5: MFA を許可するプロファイルの作成

次の手順では、Toolkit for Visual Studio AWS からサービスにアクセスするときに MFA を許可するプロファイルを作成します。

作成したプロファイルには、前の手順でコピーして保存した 3 つの情報が含まれています。

  • IAM ユーザーのアクセスキー (アクセスキー ID およびシークレットアクセスキー)

  • IAM ユーザーにアクセス許可を委任しているロールの ARN

  • IAM ユーザーに割り当てられている仮想 MFA デバイスの ARN

AWS 認証情報を含む共有認証情報ファイルまたは SDK ストアに、次のエントリを追加します。 AWS 

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

この例では、次の 2 つのプロファイルが定義されています:

  • [toolkit-user] プロファイルには、ステップ 2 で IAM ユーザーを作成したときに生成され、保存されたアクセスキーおよびシークレットアクセスキーが含まれます。

  • [mfa] プロファイルは、多要素認証のサポート方法を定義します。3 つのエントリがあります:

    source_profile: このプロファイル内のこの role_arn 設定で指定されたロールを継承するために使用される認証情報のプロファイルを指定します。この場合は、toolkit-user プロファイルです。

    role_arn: このプロファイルを使用してリクエストされた操作の実行に使用する IAM ロールの Amazon リソースネーム (ARN) を指定します。この場合、ステップ 1 で作成したロールの ARN です。

    mfa_serial: ロールを引き受けるときに使用する必要がある MFA デバイスの ID もしくはシリアル番号を指定します。この場合、ステップ 3 で設定した仮想デバイスの ARN です。