この記事は Alibaba Cloud の日本サイト の環境(ドキュメントやアカウント、そのアカウントでの検証結果)に基づいて記載しています。 日本サイトと国際サイトでは各プロダクトごとに提供機能が一部異なることがあります(そのほとんどは国際サイトの方が日本サイトよりも多機能になっている)。記事の内容は適宜最新化する予定です。
Alibaba Cloudのコンソールログインですが、MFA(Multi Factor Authentication、いわゆる2要素認証ですね)でセキュリティを強化することが可能です。
今回はRAMユーザ、そしてマスターアカウントのそれぞれにMFAを設定します。
目次
1. 前提条件
- RAMユーザー
- Alibaba CloudのMFAはIDパスワードとデバイスの2要素認証
- デバイスはiOSおよびAndroid
- iOSおよびAndroidにGoogle Authenticatorをインストール
- マスターアカウント
- IDパスワードとSMS認証、または、IDパスワードとデバイス認証の2方式から選択可能
詳しくは公式ドキュメントも確認してみてください。
2. RAMユーザのMFA設定(デバイス認証)
まずはRAMユーザを作成します。 Alibaba Cloud コンソールからRAMの管理画面に移動します。
”新規ユーザ作成”ボタンをクリックします。
ログイン名など所定の情報を入力します。
作成したアカウントをクリックします。
”コンソールへのログインの有効化”をクリックします。
パスワードを設定します。
MFAの有効化が必要の横のバーをクリックします。
バーが緑色に変化します。 また?アイコンにカーソルを合わせると次回ログイン時にMFAの有効化が行われることが案内されます。
RAMユーザでログインします。 RAMユーザのログインURLはマスターアカウントと異なります。 RAMの管理画面のトップで確認可能です。
@の左側にユーザ名を入力し、ログインします。
パスワードを入力します。
MFAの初期設定の画面が表示されます。
Android端末にPlayストアから”Google Authenticator”インストールします。
”Google Authenticator”を起動します。”開始”をクリックします。
”バーコードをスキャン”をクリックし、その後カメラからAlibaba Cloudコンソールのバーコードを読み取ります。
表示される数字をAlibaba Cloudのコンソール画面に入力します。入力欄は2つありますので、少し待ってから次の数字を入力します。
2つの数字を入力し、”有効化”をクリックします。
ログイン出来ました。
一度、サインアウトし、再度ログイン出来るか確かめます。
MFAを有効化している”mfatest”でIDとパスワードを入力すると、セキュリティコードの入力画面が表示されます。 AndroidデバイスのGoogle Authenticatorを起動し、表示されるセキュリティコードを入力します。
問題なくログインできました。
3. マスターアカウントのMFA設定(SMS認証)
マスターアカウント(メールアドレス)でAlibaba Cloud コンソールにログインします。
アカウントのアイコンをクリックします。
”ビュー”をクリックします。
今回は”ログイン”で”SMS認証”を構成します。
マスターアカウント作成時に登録した携帯電話番号にSMSでverification codeが届きます。 送信元は”AliSMS”です。 International サイトではSMSサービスもあるようなのですが日本ではまだですね。
検証番号にSMSに届いた番号を入力します。
MFAの設定が終わりました。
一度ログアウトし、再度ログイン出来るかテストします。
通常の手順でメールアドレス、パスワード、画像文字認証を行うと、Verification Codeの入力画面が表示されます。 SMSで届いたコードを入力し、ログインを続けます。
問題なくログイン出来ました。
4. まとめ
MFA認証を簡単に行えることを確認出来ました。 一方、MFAを利用出来ない場合を想定しておく必要があります。 デバイス登録しているスマートフォン、SMSが届く携帯電話を紛失した場合です。 その対応としてRAMユーザで管理者権限を持つアカウントを追加し、パスワードを非常に複雑なものに設定しています。
またどんなシステムでも障害は発生することを前提に考える必要があります。2018年の11月ですが、Azureでは障害により14時間もログイン出来ない状況が発生しました。
大勢のユーザーが19日、Microsoftの「Azure Active Directory」のMFAサービスを約14時間利用できなかった。また、Office 365やDynamicsのユーザーも、このサービスを利用して認証を行うため、同様に影響を受けた。
https://japan.zdnet.com/article/35129220/
あとはAccess Keyをまた別のクラウドなどに保管し、そこからも復旧出来る準備も整えたいと思いました。
以上