Toolkit for Visual Studio の多要素認証 (MFA) - AWS Amazon Q を使用したツールキット
ステップ 1: IAM ユーザーにアクセスを委任する IAM ロールを作成するステップ 2: ロールのアクセス許可を引き受ける IAM ユーザーを作成するステップ 3: IAM ユーザーがロールを引き受けることができるようにポリシーを追加するステップ 4: MFA ユーザーの仮想 IAM デバイスを管理するステップ 5: MFA を許可するプロファイルを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Toolkit for Visual Studio の多要素認証 (MFA)

多要素認証 (MFA) は AWS 、アカウントの追加のセキュリティです。MFA では、ウェブサイト AWS またはサービスにアクセスするときに、 AWS サポートされている MFA メカニズムからサインイン認証情報と一意の認証を提供する必要があります。

AWS は、MFA 認証用の仮想デバイスとハードウェアデバイスの両方をサポートしています。以下は、スマートフォンアプリケーションを通じて有効化された仮想 MFA デバイスの例です。MFA デバイスオプションの詳細については、MFA ユーザーガイドの「 での多要素認証 (Word) の使用 AWS」を参照してください。 IAM

ステップ 1: IAM ユーザーにアクセスを委任する IAM ロールを作成する

次の手順では、IAM ユーザーにアクセス許可を割り当てるためのロールの義務を設定する方法について説明します。ロールの義務の詳細については、 AWS Identity and Access Management ユーザーガイドIAM ユーザートピックにアクセス許可を委任するロールの作成」を参照してください。

  1. IAM/iam の https://console.aws.amazon.com コンソールに移動します。

  2. ナビゲーションバーで [Roles] (ロール) を選択した後、[Create Role] (ロールの作成) を選択します。

  3. [Create role] (ロールの作成) ページで、[Another AWS account] (もう 1 つの AWS アカウント) を選択します。

  4. 必要なアカウント ID を入力し、MFA を要求するチェックボックスにマークを付けます。

    注記

    12 桁のアカウント ID 番号を確認するには、コンソールのナビゲーションバーで [Support][Support Center] の順に選択します。

  5. [Next: Permissions] (次へ: アクセス許可) を選択します。

  6. 既存のポリシーをロールにアタッチするか、新しいポリシーを作成します。このページで選択したポリシーによって、IAM ユーザーが Toolkit でアクセスできる AWS サービスが決まります。

  7. ポリシーをアタッチしたら、ロールに IAM タグを追加するオプションの次へ: タグを選択します。[Next: Review] (次へ: 確認) を選択して続行します。

  8. [Review] (確認) ページで、必須の [Role name] (ロール名) (例えば、toolkit-role) を入力します。オプションの [Role description] (ロールの説明) 値を追加することもできます。

  9. [ロールの作成] を選択します。

  10. 確認メッセージ (「ロール toolkit-role が作成されました」など) が表示されたら、メッセージ内のロールの名前を選択します。

  11. 概要ページで、コピーアイコンを選択してロールARNをコピーし、ファイルに貼り付けます。(ロールを引き受けるように ARN ユーザーを設定するときは、この IAM が必要です)。

ステップ 2: ロールのアクセス許可を引き受ける IAM ユーザーを作成する

このステップでは、インラインポリシーを追加できるように、アクセス許可のない IAM ユーザーを作成します。

  1. IAM/iam の https://console.aws.amazon.com コンソールに移動します。

  2. ナビゲーションバーで、 [Users] (ユーザー)、[Add user] (ユーザーを追加する) の順に選択します。

  3. [Add user] (ユーザーの追加) ページで必要な [User name] (ユーザー名) (例えば、toolkit-user) を入力し、[Programmatic access] (プログラムによるアクセス) チェックボックスをオンにします。

  4. [Next: Permissions] (次へ: アクセス許可)、[Next: Tags] (次へ: タグ)、[Next: Review] (次へ: 確認) の順に選択して、次ページに移動します。ユーザーがロールの権限を引き受けるため、この段階では権限を追加しません。

  5. [Review] (確認) ページでは、[This user has no permissions] (このユーザーにはアクセス許可がありません) という旨が通知されます。[ユーザーの作成] を選択します。

  6. [Success] (成功) ページで、[Download .csv] (.csv をダウンロード) を選択して、アクセスキー ID およびシークレットアクセスキーを含むファイルをダウンロードします。(認証情報ファイルのプロファイルを定義する場合は、両方とも必要です。)

  7. [閉じる] を選択します。

ステップ 3: IAM ユーザーがロールを引き受けることができるようにポリシーを追加する

次の手順では、ユーザーがロール (およびそのロールのアクセス許可) を引き受けることを許可するインラインポリシーを作成します。

  1. IAM コンソールの ユーザーページで、作成したばかりの IAM ユーザー (toolkit-user など) を選択します。

  2. [Summary] (概要) ページの[Permissions] (アクセス許可) タブで [Add inline policy] (インラインポリシーの追加 を選択します。

  3. ポリシーの作成ページで、サービスの選択を選択し、サービスの検索STS を入力し、結果から STS を選択します。

  4. アクションの場合は、AssumeRole という用語の入力を開始します。AssumeRole チェックボックスが表示されたらマークします。

  5. リソースセクションで、Specific が選択されていることを確認して、Add ARN をクリックしてアクセスを制限します。

  6. ARN (複数可) の追加ダイアログボックスで、ロールの ARN を指定する に、ステップ 1 で作成したロールの ARN を追加します。

    ロールの ARN を追加すると、そのロールに関連付けられた信頼されたアカウントとロール名が、パスを持つアカウントとロール名に表示されます。

  7. [追加] を選択します。

  8. ポリシーの作成ページに戻り、リクエスト条件の指定 (オプション) を選択し、必要なMFAにマークを付けてから、閉じるを選択して確認します。

  9. [Review poilicy] (ポリシーの確認) を選択します。

  10. [Review poilicy] (ポリシーの確認) ページで、ポリシーの [Name] (名前) を入力してから [Create policy] (ポリシーの作成) を選択します。

    アクセス許可タブには、IAM ユーザーに直接アタッチされた新しいインラインポリシーが表示されます。

ステップ 4: MFA ユーザーの仮想 IAM デバイスを管理する

  1. 仮想 MFA アプリケーションをダウンロードしてスマートフォンにインストールします。

    サポートされているアプリケーションのリストについては、「多要素認証」リソースページを参照してください。

  2. IAM コンソールで、ナビゲーションバーからユーザーを選択し、ロールを引き受けるユーザー (この場合、toolkit-user) を選択します。

  3. 概要ページで、セキュリティ認証情報タブを選択し、割り当て済み MFA デバイスの場合は 管理を選択します。

  4. MFA デバイスの管理ペインで、Virtual MFA デバイスを選択し、続行を選択します。

  5. 仮想 MFA デバイスのセットアップペインで、QR コードを表示を選択し、スマートフォンにインストールした仮想 MFA アプリケーションを使用してコードをスキャンします。

  6. QR コードをスキャンすると、仮想 MFA アプリケーションは 1 回限りの MFA コードを生成します。MFA コード 1 と MFA コード 2 に 2 つの連続した MFA コードを入力します。

  7. [Assign (割り当てる)MFA] を選択します。

  8. ユーザーのセキュリティ認証情報タブに戻り、新しい割り当て済み ARN デバイスの Word をコピーします。 MFA

    ARN には 12 桁のアカウント ID が含まれており、形式は に似ていますarn:aws:iam::123456789012:mfa/toolkit-user。次のステップで ARN プロファイルを定義するときは、この MFA が必要です。

ステップ 5: MFA を許可するプロファイルを作成する

次の手順では、 Toolkit for Visual Studio から AWS サービスにアクセスするときに MFA を許可するプロファイルを作成します。

作成したプロファイルには、前の手順でコピーして保存した 3 つの情報が含まれています。

  • IAM ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー)

  • ARN ユーザーにアクセス許可を委任するロールの IAM

  • ARN ユーザーに割り当てられた仮想 MFA デバイスの IAM

AWS 認証情報を含む AWS 共有認証情報ファイルまたは SDK Store に、次のエントリを追加します。

[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user

この例では、次の 2 つのプロファイルが定義されています:

  • [toolkit-user] プロファイルには、ステップ 2 で IAM ユーザーを作成したときに生成および保存されたアクセスキーとシークレットアクセスキーが含まれます。

  • [mfa] プロファイルは、多要素認証のサポート方法を定義します。3 つのエントリがあります:

    source_profile: このプロファイル内のこの role_arn 設定で指定されたロールを継承するために使用される認証情報のプロファイルを指定します。この場合は、toolkit-user プロファイルです。

    role_arn: このプロファイルを使用してリクエストされたオペレーションの実行に使用する IAM ロールの Amazon リソースネーム (ARN) を指定します。この場合、ステップ 1 で作成したロールの ARN です。

    mfa_serial: ロールを引き受けるときにユーザーが使用する必要がある MFA デバイスの ID またはシリアル番号を指定します。この場合、ステップ 3 で設定した仮想デバイスの ARN です。