AWS のハードウェアMFA を使ってみた

黄色い封筒が郵便受けに.

なんだろうと取り出してみると米Amazon からでした.

IMG_0615IMG_0617

中身は暫く前に注文していたAWS のMFA でした.(ハードウェアトークン生成器)
注文日は8/21,到着は8/29なので8日で届いたようです.

値段は$12.99 + Shipping$4.28 = $17.27 でした.

SMBC のRSA のものに比べると微妙に大きい気がします.
ボタンを押すとトークンが表示されます.RSA のは常時表示.
IMG_0614
IMG_0618

利用してみる

ポータルから「セキュリティ証明書」に飛んで,設定します.
Screenshot_from_2012-08-30 02:36:51

シリアルと,認証コードを2回入力します.このシリアルは背面の大きな文字で書かれているものです.
Screenshot_from_2012-08-30 02:37:16
Screenshot_from_2012-08-30 02:44:28

さて,うまく行ったら認証を試してみましょう.
通常のAWS へのログイン処理の後にもう一回認証画面が現れて,ここに認証コードを入力することでログイン完了になります.
Screenshot_from_2012-08-30 02:45:17

Google の2段階認証と同じですね.
ちなみに,ソフトウェアのMFA ではそのままGoogle Authenticator が使えます.

認証デバイスの紛失対応

さて,これでAWS ログインのセキュリティは高まりました.しかし,このトークン生成器がないとログインができなくなりました.
なくしたり壊したりしたらGoogle の場合は印刷コードなどで復旧できますがAWS MFA の場合はどうすればいいのか確認してみました.

Q: 認証デバイスが紛失、損傷、または盗難され、AWS Portal または AWS Management Console にサインインすることができません。どのようにすればよいですか?
認証デバイスが AWS アカウントに関連付けられている場合は、次の手順に従います:

お問い合わせページから、AWS MFA の無効化を依頼してください。これで、AWS のウェブサイトの保護されたページや AWS マネジメントコンソールに、一時的にユーザー名とパスワードだけでアクセスできるようになります。
アタッカーが認証デバイスを盗み、お客様の現在のパスワードを入手した可能性があるので、Amazon のパスワードを変更してください。
サードパーティのプロバイダ Gemalto から、そのウェブサイトを使って新しいデバイスを購入するか、または IAM コンソールをを使用してアカウントで新しい仮想 MFA デバイスをプロビジョニングします。
上記のステップを完了したら、IAM コンソールを使用して、認証デバイスをアクティベートし、AWS アカウントの AWS MFA を再度有効にします。
認証デバイスが IAM ユーザーに関連付けられている場合は、IAM コンソール、IAM CLI、または IAM API を使用して、IAM ユーザーの MFA デバイスを削除することができます。

Q: 物理的な認証デバイスが働かなくなって、AWS Portal または AWS Management Console にサインインすることができなくなりました。どのようにすればよいですか?
物理的な認証デバイスが AWS アカウントに関連付けられている場合は、次の手順に従います:

当社までご連絡いただき、AWS MFA を無効にしてください。そうすれば、AWS のウェブサイトの保護されたページ、または AWS Management Console に、一時的にユーザー名とパスワードだけを使ってサインインすることができます。
サードパーティのプロバイダ Gemalto に連絡し、認証デバイスに関する援助を受けてください。
別の認証デバイスを一旦入手したら、前のように、AWS のウェブサイトに戻って、認証デバイスをアクティベートし、お客様の AWS アカウントの AWS MFA を再度有効にします。
認証デバイスが IAM ユーザーに関連付けられている場合は、IAM ユーザーのユーザー名とパスワードを提供した人にご連絡ください。

ということで,基本的にはAmazon に無効化を依頼して再設定のようですね.以下が依頼用のフォームぽいです.

Amazon Webサービス

Please tell us about the problem you are experiencing with your MFA device and provide the phone number we can use to reach you. We will call you within 15 minutes of submitting your request for assistance. If your problem does not require telephone assistance, we will contact you via email with instructions for resetting your device.

問題点と電話番号を入力すると15分以内に電話がかかってくるぽいです(でもきっと英語><).若しくはE-Mail(E-Mail の場合も15分以内なんだろうか?)
15分なら許容範囲かなと思います.
#試した方がいらしたら教えてもらえると嬉しいです.

参考URL