TOPコラム一覧IAMで複数の多要素認証(MFA)デバイスが割当できるようになったことで、ユースカジノ クレジットカード

IAMで複数の多要素認証(MFA)ユースカジノ クレジットカードが割当できるように
なったことで、ユースカジノ クレジットカード

はじめに

今までは、IAMユーザに1つのMFAユースカジノ クレジットカードを割り当てして利用していましたが、2022年11月16日に機能Updateで複数のMFAユースカジノ クレジットカードを割り当てることができるようになりました。
https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-identity-access-management-multi-factor-authentication-devices/

しかし、ユースカジノ クレジットカード自己管理するIAMポリシーを適用されている方が多いのではないでしょうか?
AWS ドキュメント「IAM: IAM ユーザーに MFA ユースカジノ クレジットカードの自己管理を許可する」に記載されたIAM ポリシーと相性が悪くこのままでは利用できないので運用観点を交えて話したいと思います。

ユースカジノ クレジットカードで変わったところ

ユースカジノ クレジットカード登録で「名前」の入力が必須になりました。
この名前の登録が必須ユースカジノ クレジットカードったことで、別の困りごとが発生します。

困りごと①:AWS ドキュメント「IAM: IAM ユーザーに MFA ユースカジノ クレジットカードの自己管理を許可する」に記載されたIAM ポリシーと相性が悪い

ユースカジノ クレジットカード登録で入力する「名前」はMFAのSerialNmuberで利用され、作成されるリソースは、"arn:aws:iam::*:mfa/{名前}"になります。
結果、以下のアクションとリソースで指定から、IAMユーザ名と同じ値で名前に入力するユースカジノ クレジットカードがあります。
(iam:CreateVirtualMFADeviceアクションで、ユースカジノ クレジットカードした"arn:aws:iam::*:mfa/${aws:username}")

AWS ドキュメント「IAM: IAM ユーザーに MFA ユースカジノ クレジットカードの自己管理を許可する」に掲載されたIAMポリシー
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_examples_iam_mfa-selfmanage.html

{
    "Sid": "AllowIndividualUserToManageTheirOwnMFA",
    "Effect": "Allow",
    "Action": [
        "iam:CreateVirtualMFADevice",
        "iam:DeleteVirtualMFADevice",
        "iam:ListMFADevices",
        "iam:EnableMFADevice",
        "iam:ResyncMFADevice"
    ],
    "Resource": [
        "arn:aws:iam::*:mfa/${aws:username}",   ← ユースカジノ クレジットカード名と異なると拒否されます
        "arn:aws:iam::*:user/${aws:username}"
    ]
  },

また、以下のポリシーを追加することで登録の回避は可能ですが、任意の名前で定義した仮想 MFA ユースカジノ クレジットカードエンティティが残り続けて、困りごと②に抵触します。

{
    "Sid": "AllowIndividualUserToManageTheirOwnMFA",
    "Effect": "Allow",
    "Action": [
        "iam:CreateVirtualMFADevice",
    ],
    "Resource": [
        "arn:aws:iam::*:mfa/*"
    ]
  },

困りごと②:ユースカジノ クレジットカード登録で「名前」は、AWSアカウント内で重複が許されない

例えば、ユースカジノ クレジットカードAで、設定したMFA名を、ユースカジノ クレジットカードBで同じ名前で設定ができません。
更に、GUIで利用されているMFA名を把握することは出来ません。
把握するには、AWS CLIで、仮想 MFA ユースカジノ クレジットカードエンティティを一覧表示する”aws iam list-virtual-mfa-devices”で確認する必要があります。

また、関連付けを解除した仮想 MFA ユースカジノ クレジットカードエンティティはGUIで確認ができないため、AWS CLIより関連付けされていないエンティティをAWS CLI ”aws iam delete-virtual-mfa-device --serial-number <value”で削除する必要があります。

まとめ

2022年11月16日に機能Updateで複数のMFAユースカジノ クレジットカードを割り当てる機能は、ユースカジノ クレジットカードが故障した際の回避と、RootアカウントでMFA登録且つ複数人で共用する際に活用が出来る機能です。
IAMユーザの利用のおいて、ユースカジノ クレジットカード故障の回避だけであれば本機能に頼らず、MFA登録時に複数のスマフォアプリ「Google Authenticator」の利用や仮想MFAソフト「WinAuth」との併用で同時に設定した方がIAMポリシーに手を加えずMFA登録の運用手順を更改する方が手間が少なくてよいと思います。

カジノゲームは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
ユースカジノ クレジットカード、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。

お問い合わせ

【著者プロフィール】

坂 和久(ばん かずひさ)

ユースカジノ クレジットカード株式会社 クラウドアーキテクト

オンプレミスの設計業務から構築業務に従事。現在はオンプレミス時代の経験を活用し、ユースカジノ クレジットカードタープライズ向けのAWSプリセールス並びにAWS案件全般でお客様を支援するアーキテクトとして活躍中。

坂 和久(ばん かずひさ)

TOPコラム一覧IAMで複数の多要素認証(MFA)デバイスが割当できるようになったことで、ユースカジノ クレジットカード

pagetop