ユースカジノクレジットカードで複数の多要素認証（MFA）デバイスが割当できるように
なったことで、必要になったMFAデバイスの自己管理

投稿日: 2022/11/30

はじめに

今までは、ユースカジノクレジットカードユーザに１つのMFAデバイスを割り当てして利用していましたが、2022年11月16日に機能Updateで複数のMFAデバイスを割り当てることができるようになりました。
https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-identity-access-management-multi-factor-authentication-devices/

しかし、MFAデバイスの自己管理するユースカジノクレジットカードポリシーを適用されている方が多いのではないでしょうか？
AWS ドキュメント「ユースカジノクレジットカード: ユースカジノクレジットカードユーザーに MFA デバイスの自己管理を許可する」に記載されたユースカジノクレジットカードポリシーと相性が悪くこのままでは利用できないので運用観点を交えて話したいと思います。

設定で変わったところ

MFAデバイスの登録で「名前」の入力が必須になりました。
この名前の登録が必須になったことで、別の困りごとが発生します。

困りごと①：AWS ドキュメント「ユースカジノクレジットカード: ユースカジノクレジットカードユーザーに MFA デバイスの自己管理を許可する」に記載されたユースカジノクレジットカードポリシーと相性が悪い

MFAデバイスの登録で入力する「名前」はMFAのSerialNmuberで利用され、作成されるリソースは、"arn:aws:ユースカジノクレジットカード::*:mfa/{名前}"になります。
結果、以下のアクションとリソースで指定から、ユースカジノクレジットカードユーザ名と同じ値で名前に入力する必要があります。
（ユースカジノクレジットカード:CreateVirtualMFADeviceアクションで、リソースで指定した"arn:aws:ユースカジノクレジットカード::*:mfa/${aws:username}"）

AWS ドキュメント「ユースカジノクレジットカード: ユースカジノクレジットカードユーザーに MFA デバイスの自己管理を許可する」に掲載されたユースカジノクレジットカードポリシー
https://docs.aws.amazon.com/ja_jp/ユースカジノクレジットカード/latest/UserGuide/reference_policies_examples_ユースカジノクレジットカード_mfa-selfmanage.html

{
    "Sid": "AllowIndividualUserToManageTheirOwnMFA",
    "Effect": "Allow",
    "Action": [
        "ユースカジノ クレジットカード:CreateVirtualMFADevice",
        "ユースカジノ クレジットカード:DeleteVirtualMFADevice",
        "ユースカジノ クレジットカード:ListMFADevices",
        "ユースカジノ クレジットカード:EnableMFADevice",
        "ユースカジノ クレジットカード:ResyncMFADevice"
    ],
    "Resource": [
        "arn:aws:ユースカジノ クレジットカード::*:mfa/${aws:username}",　　　← ユースカジノ クレジットカードユーザ名と異なると拒否されます
        "arn:aws:ユースカジノ クレジットカード::*:user/${aws:username}"
    ]
  },

また、以下のポリシーを追加することで登録の回避は可能ですが、任意の名前で定義した仮想 MFA デバイスエンティティが残り続けて、困りごと②に抵触します。

{
    "Sid": "AllowIndividualUserToManageTheirOwnMFA",
    "Effect": "Allow",
    "Action": [
        "ユースカジノ クレジットカード:CreateVirtualMFADevice",
    ],
    "Resource": [
        "arn:aws:ユースカジノ クレジットカード::*:mfa/*"
    ]
  },

困りごと②：MFAデバイスの登録で「名前」は、AWSアカウント内で重複が許されない

例えば、ユースカジノクレジットカードユーザAで、設定したMFA名を、ユースカジノクレジットカードユーザBで同じ名前で設定ができません。
更に、GUIで利用されているMFA名を把握することは出来ません。
把握するには、AWS CLIで、仮想 MFA デバイスエンティティを一覧表示する”aws ユースカジノクレジットカード list-virtual-mfa-devices”で確認する必要があります。

また、関連付けを解除した仮想 MFA デバイスエンティティはGUIで確認ができないため、AWS CLIより関連付けされていないエンティティをAWS CLI ”aws ユースカジノクレジットカード delete-virtual-mfa-device --serial-number <value”で削除する必要があります。

まとめ

2022年11月16日に機能Updateで複数のMFAデバイスを割り当てる機能は、デバイスが故障した際の回避と、RootアカウントでMFA登録且つ複数人で共用する際に活用が出来る機能です。
ユースカジノクレジットカードユーザの利用のおいて、デバイス故障の回避だけであれば本機能に頼らず、MFA登録時に複数のスマフォアプリ「Google Authenticator」の利用や仮想MFAソフト「WinAuth」との併用で同時に設定した方がユースカジノクレジットカードポリシーに手を加えずMFA登録の運用手順を更改する方が手間が少なくてよいと思います。

ユースカジノクレジットカードは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にユースカジノ登録ください。

ユースカジノ登録

ユースカジノクレジットカードが提供する
AWS構築・運用サービス

お客様のAWSビジネス利活用をユースカジノクレジットカードの経験豊富なエンジニアがサポート！
コンサルティング・構築・運用までをワンストップかつ柔軟にご支援します。

AWSインテグレーション AWSオペレーション AWSリセール

【著者プロフィール】

坂　和久（ばん　かずひさ）

伊藤忠テクノソリューションズ株式会社　クラウドアーキテクト

オンプレミスの設計業務から構築業務に従事。現在はオンプレミス時代の経験を活用し、エンタープライズ向けのAWSプリセールス並びにAWS案件全般でお客様を支援するアーキテクトとして活躍中。

ユースカジノ クレジットカードで複数の多要素認証（MFA）デバイスが割当できるようになったことで、必要になったMFAデバイスの自己管理