ハンズオン(簡易版): IAM基礎(ユーザー)

2.2. 仮想MFAデバイスの有効化 (handson-cli-basic-user)

手順の目的 [why]

IAMユーザー"handson-cli-basic-user"のMFAを無効にします。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

1. IAMユーザー名

IAMユーザー名を指定します。

変数の設定:

IAM_USER_NAME='handson-cli-basic-user'

2. IAMユーザーパス

IAMユーザーパスを指定します。

変数の設定:

IAM_USER_PATH='/handson-cli/'

3. 仮想MFAデバイス名

仮想MFAデバイス名を指定します。

変数の設定:

MFA_DEVICE_NAME='handson-cli-basic-user-mfa'

4. MFAブートストラップ出力ファイル名

MFAブートストラップ出力ファイル用ディレクトリを指定します。

変数の設定:

DIR_MFA_OUTFILE="${HOME}/environment/tmp-handson-cli-iam-user-basic"

MFAブートストラップ出力ファイル名を指定します。

変数の設定:

FILE_MFA_OUTFILE="${DIR_MFA_OUTFILE}/${MFA_DEVICE_NAME}.png" \
  && echo ${FILE_MFA_OUTFILE}

結果(例):

${HOME}/environment/tmp-handson-cli-iam-user-basic/handson-cli-basic-user-mfa.png

設定値の確認

各変数に正しい設定値が格納されていることを確認しながら保存します。

変数の確認:

cat << END

  # 1. IAM_USER_NAME:"handson-cli-basic-user"
       IAM_USER_NAME="${IAM_USER_NAME}"
  # 2. IAM_USER_PATH:"/handson-cli/"
       IAM_USER_PATH="${IAM_USER_PATH}"
  # 3. MFA_DEVICE_NAME:"handson-cli-basic-user-mfa"
       MFA_DEVICE_NAME="${MFA_DEVICE_NAME}"
  # 4. FILE_MFA_OUTFILE:"${HOME}/environment/tmp-handson-cli-iam-user-basic/handson-cli-basic-user-mfa.png"
       FILE_MFA_OUTFILE="${FILE_MFA_OUTFILE}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

AWS IDを取得します。

コマンド:

AWS_ID=$( \
  aws sts get-caller-identity \
    --query 'Account' \
    --output text \
) \
  && echo ${AWS_ID}

結果(例):

XXXXXXXXXXXX

仮想MFAデバイスのシリアル番号を取得します。

コマンド:

MFA_DEVICE_SERIAL=$( \
  aws iam list-virtual-mfa-devices \
    --query "VirtualMFADevices[?SerialNumber == \`arn:aws:iam::${AWS_ID}:mfa/${MFA_DEVICE_NAME}\`].SerialNumber" \
    --output text \
) \
  && echo ${MFA_DEVICE_SERIAL}

結果(例)

arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cli-basic-user-mfa

QRコードをCloud9環境で表示します。

  • Cloud9の左メニューの検索ボタンをクリックします。

    • "検索"欄に"handson-cli-basic-user-mfa.png"を入力し、エンターキーを押します。

  • QRコードがメインペインに表示されます。

QRコードをMFAソフトウェアに読み込ませます。

注釈

操作方法については、MFAソフトウェアのマニュアルをご確認ください。

MFAソフトウェアから認証コードの取得

MFAソフトウェアに表示された6桁の数字2回分を変数に格納します。

注釈

1回目と2回目の数字は、必ずMFAソフトウェア上で連続して表示されたものである必要があります。

MFAソフトウェアに表示された認証コード(1回目)を変数に格納します。

変数の設定:

MFA_AUTH_CODE1='<連続した認証コードの1回目>'

MFAソフトウェアに表示された認証コード(2回目)を変数に格納します。(1回目の直後に表示された認証コードである必要があります。)

変数の設定:

MFA_AUTH_CODE2='<連続した認証コードの2回目>'

仮想MFAデバイスの有効化

仮想MFAデバイスの有効化します。

変数の確認:

cat << END

  # IAM_USER_NAME:"handson-cli-basic-user"
    IAM_USER_NAME="${IAM_USER_NAME}"
  # MFA_DEVICE_SERIAL:"arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cli-basic-user-mfa"
    MFA_DEVICE_SERIAL="${MFA_DEVICE_SERIAL}"
  # MFA_AUTH_CODE1:"<連続した認証コードの1回目>"
    MFA_AUTH_CODE1="${MFA_AUTH_CODE1}"
  # MFA_AUTH_CODE2:"<連続した認証コードの2回目>"
    MFA_AUTH_CODE2="${MFA_AUTH_CODE2}"

END

コマンド:

aws iam enable-mfa-device \
  --user-name ${IAM_USER_NAME} \
  --serial-number ${MFA_DEVICE_SERIAL} \
  --authentication-code1 ${MFA_AUTH_CODE1} \
  --authentication-code2 ${MFA_AUTH_CODE2}

結果(例):

(出力なし)

完了確認

「IAMユーザー"handson-cli-basic-user"のMFAが有効になっている。」ことを確認します。

コマンド:

aws iam list-virtual-mfa-devices \
  --query "VirtualMFADevices[?User.UserName == \`${IAM_USER_NAME}\`].User.UserName" \
  --output text

結果(例):

handson-cli-basic-user

手順の完了

(参考) マネジメントコンソールの確認

ユーザー一覧(画面)

  • 検索欄にユーザー名"handson-cli-basic-user"を入力します。

  • ユーザー名"handson-cli-basic-user"(リンク)をクリックします。

ユーザー概要(画面)

  • "認証情報"(タブ)をクリックします。

ユーザー概要/認証情報(タブ)

  • "MFA デバイスの割り当て"に"arn:aws:iam::XXXXXXXXXXXX:mfa/handson-cli-basic-user-mfa(仮想)"が表示されていることを確認します。