現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。
以下、公式文書です。
AWS adds passkey multi-factor authentication (MFA) for root and IAM users
AWS Identity and Access Management now supports passkey as a second authentication factor
概要
本アップデートで、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになりました。
わずらわしいTOTPともおさらばです。6桁の数字を残り時間を見ながら入れるの結構ストレスだったのではないでしょうか?
ということで設定
では、サクサク試していきましょう。
『MFAデバイスの割り当て』を選び
MFAデバイスを選択で、「パスキー、または、セキュリティーキー」を選択
で、下記のようなダイアログが私の環境では出てきたので(環境によって動作が異なります)、
ここではスマートフォン、タブレットを選択
そうすると、下記のようなバーコードが出てきてカメラで読み込ませるだけで
パスキーが登録されました。
という感じで設定が終わりました。とても簡単ですね。
残課題
Windows Helloのpin認証、顔認証で利用できるとさらに便利になるかと考えました。しかし、筆者の持っている端末では Windows Hello、または外部セキュリティーキー」を選択すると、セキュリティーキーの使用を強制されてしまいました。この辺は利便性、セキュリティー強度に大きく関係しますので何が最適かよく検討する必要がありそうです。
使いどころ
社としては、認証をIDP(アイデンティティプロバイダー)に依存させるべきですが、どうしてもその標準から外れる部分が出てきます。筆者は全社レベルで管理者業務を行っており、IDPのトラブル時にも対応できる必要があります。しかし、これをTOTP(タイムベースワンタイムパスワード)で管理していると、数百ものTOTPエントリが必要になり、非常に煩雑に感じていました。
が、Passkeyを使うことにより、モバイルやWindows Helloで簡易に認証を集約できるメリットが得られます。
私たちは一緒に働いてくれる仲間を募集しています!
クラウドアーキテクト執筆:@miura.toshihiko、レビュー:@akutsu.masahiro
(Shodoで執筆されました)