こんにちは、ニキです。
この記事では以下のような疑問にお答えします。
- ルートユーザーの多要素認証 (MFA) を設定した方がいい?
- ルートユーザーの多要素認証 (MFA) を設定するにはどうすればいい?
結論を先に言うと、ルートユーザーの多要素認証 (MFA) を設定した方がいいです。その理由と設定する方法を解説していきます。
AWSのルートユーザーのMFAを設定したほうがいい
ルートユーザーはフルアクセスできるユーザーなので、セキュリティを強化しておく必要があります。セキュリティを強化するために、多要素認証 (MFA) を有効にします。
以下はAWSの公式ドキュメントからの引用です。
ルートユーザーの認証情報を安全に保つために、ルートユーザーのサインインで多要素認証 (MFA) を有効にすることを強くお勧めします。これを行うと、ルートユーザーの E メールアドレスとパスワードを入力するだけでなく、別の認証者からの認証情報も使用することになり、誰かが許可なくルートユーザーの認証情報を使用することがはるかに困難になります。
引用 https://aws.amazon.com/jp/getting-started/guides/setup-environment/module-two/
AWSのルートユーザーのMFAを設定する方法
ここからは実際に、MFAを設定していきます。
まず、IAMサービスのコンソール画面へ移動します。
MFAデバイスの選択
以下のようにセキュリティに関するレコメンデーション内に rootユーザーのMFAを追加する があります。
MFA を追加 を選択します。次に、次の画面でMFA の有効化 を選択します。
次に、MFAデバイスを選択します。

ここでは、お手軽に Authenticator appにします。
デバイス名はアプリケーションをインストールするデバイスに相応しい名前にします。
名前とデバイスを選択した後に 次へ を選択します。

MFAデバイスの設定
認証用のアプリケーションをデバイスにインストールします。以下のページで互換性のあるアプリケーションを確認できます。今回は、Google Authenticator を使用して検証しました。
QRコードを表示した後に、認証アプリケーション上でカメラを起動し、QRコードをスキャンします。
認証アプリと連携できると、アカウントのコードが認証アプリケーション上に表示されるので、MFAコード1に入力します。
一定時間ごとにコードが切り替わるので、MFAコード1に入力したコードの次に表示されるコードをMFAコード2に入力します。
MFAを追加 を選択すると、MFAの設定は完了です。

ルートユーザーでサインイン
これ以降のルートユーザーのサインインでは、メールアドレスとパスワードの入力に加え、以下のようにMFAコードを要求されるようになります。

まとめ
今回の記事では、AWSで多要素認証(MFA)を設定する方法を解説しました。