[Security Hub修復手順][IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[Security Hub修復手順][IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

Clock Icon2023.03.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部のアダルシュです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、AWSアカウントが、ルートユーザー認証情報でサインインするためにハードウェア多要素認証(MFA)デバイスを使用することが有効かどうかをチェックします。

仮想MFAは、ハードウェアMFAデバイスと同じレベルのセキュリティを提供しない場合があります。AWSは、ハードウェアの購入承認またはハードウェアの到着を待つ間、仮想MFAデバイスのみを使用することを推奨します。

ハードウェア MFA のオプションとして、時間ベースのワンタイムパスワード(TOTP)と Universal 2nd Factor(U2F)トークンの両方が実行可能です。

修復手順

[Root user] (ルートユーザー)(コンソール)に対してMFAデバイスを有効にするには

  • [Root user] (ルートユーザー)アカウントにログインする
  • ナビゲーションバーの右側で、お客様のアカウント名を選択し、 [Security Credentials] を選択します。必要な場合は、[Continue to Security credentials] を選択します。
  • 多要素認証(MFA)」セクションを展開します。
  • Assign MFA Device(MFAデバイスの割り当て)]を選択します。
  • ウィザードで、デバイス名を入力し、ハードウェアTOTPトークンを選択し、次へを選択します。
  • ターゲットデバイスのシリアル番号を入力します。シリアル番号は、通常、デバイスの背面に記載されています。
  • MFA デバイスに表示されている 6 桁の番号を MFA コード 1 に入力します。デバイスの前面にあるボタンを押すと、番号が表示される場合があります。
  • 端末がコードを更新するまで約30秒待ち、更新後に表示された6桁の番号をMFAコード2に入力する。新しい番号を表示させるために、デバイス前面のボタンをもう一度押す必要がある場合があります。
  • Add MFA を選択します。

これでデバイスはAWSで使用できるようになりました。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、アダルシュでした!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.