Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
MFA必須化でハマった謎エラー
Search
Hibiki
July 24, 2025
0
8
MFA必須化でハマった謎エラー
Hibiki
July 24, 2025
Tweet
Share
More Decks by Hibiki
See All by Hibiki
Network FirewallとTransit Gateway統合
hibikisuaga
3
240
NW-JAWS VPC間接続のまとめ
hibikisuaga
0
2
NW-JAWS ルートテーブルとエンドポイント入門
hibikisuaga
2
680
Amplify_Reactで爆速アプリ開発.pdf
hibikisuaga
0
19
Featured
See All Featured
Mobile First: as difficult as doing things right
swwweet
225
10k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.5k
Git: the NoSQL Database
bkeepers
PRO
431
66k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1k
The Cost Of JavaScript in 2023
addyosmani
55
9.1k
Music & Morning Musume
bryan
46
6.9k
Designing for humans not robots
tammielis
254
26k
YesSQL, Process and Tooling at Scale
rocio
173
15k
Docker and Python
trallard
46
3.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.1k
Stop Working from a Prison Cell
hatefulcrawdad
272
21k
Transcript
MFA必須化でハマった謎エラー ~内部アクションの解説も添えて~ 須永 響 伊藤忠テクノソリューションズ株式会社
須永 響 Hibiki Sunaga CTC(伊藤忠テクノソリューションズ株式会社 ) 新卒3年目 業務:AWSインフラ基盤の設計・構築 コミュニティ活動:NW-JAWS運営 :@gravitas580
About Me
アジェンダ 01 02 03 エラー遭遇編 エラー調査編 エラー解決編
アジェンダ 01 02 03 エラー遭遇編 エラー調査編 エラー解決編
MFAは大事 MFA(Multi Factor Authentication)
MFA必須化の実装 IAMユーザーに対してMFAを必須化しよう ↓ AWSユーザーガイドにMFA必須化用ポリシーがあるので採用 IAM: IAM ユーザーに MFA デバイスの自己管理を許可する -
AWS Identity and Access Management ↓ よし!実装できた! 完
なんだこのエラーは? ⚫ 後日こんなお問い合わせが。。。 なんかエラーが出てMFAを登録できない
なんだこのエラーは? ⚫ Delete権限がないー?なんだそれ?ユーザーガイド通り作ってるよー ⚫ 既に存在しているー?IAMユーザーの認証情報みてもMFA登録されてないんだけどー
アジェンダ 01 02 03 エラー遭遇編 エラー調査編 エラー解決編
調査開始 ⚫ How:どうやって解決すれば? ⚫ Why:なぜエラーが起きる?
解決方法 ⚫ インターネットで先人たちのナレッジを覗いてみると、あら簡単 ⚫ エラー内容通り「iam:DeleteVirtualMFADevice 」をポリシーに追加すれば解決するらしい ➢ もしくはdelete-virtual-mfa-deviceコマンドでデバイスを削除してあげる
解決方法の深堀り ⚫ でもなんで「 iam:DeleteVirtualMFADevice 」が必要なの? ⚫ 調査してみましょう!
MFAデバイス操作の内部構造 ⚫ MFAデバイス操作で発生するアクションを調査してみる ➢ デバイス作成 ~ デバイス削除 までやってみて、CloudTrailログを確認 ⚫ 調査の結果
➢ MFAデバイスの作成時・削除時以下のアクションが実行されていることが判明 MFAデバイスを作るとき MFAデバイスの作成 CreateVirtualFMADevice ↓ MFAデバイスをユーザーに紐づけ EnableMFADevice MFAデバイスを削除するとき MFAデバイスとユーザーの紐づけ解除 DeactivateMFADevice ↓ MFAデバイスの削除 DeleteVirtualMFADevice
MFAデバイス情報を確認 ⚫ そして、アカウント内のMFAデバイス一覧を確認するコマンドを実行してみると、 どのユーザーにも紐づいていないMFAデバイスがある 通常はMFAデバイスが 紐づくユーザー情報がある MFAデバイスがどのユーザ ーとも紐づいてない
紐づいてないデバイスの謎 ⚫ つまり、エラーが起こっていたデバイスは 作成(Create)はされてるけど、紐づけ(Enable)はされてない!
紐づいてないデバイスの謎 ⚫ じゃあ、いつMFAデバイスは作成されてるの? ➢ デバイス登録を進めながら、画面遷移ごとにデバイス登録情報を listコマンドで確認 ➢ デバイス名入力画面 → デバイス登録
の画面遷移時にデバイス作成(Create)されていた
紐づいていないデバイスの謎 ⚫ 通常は「MFAを追加」を実行して、ユーザーとの紐づけが実行される ⚫ キャンセルボタンを押すと、、、 ➢ どのユーザーにも紐づかないまま、デバイス情報だけ残ってしまう!
エラーの原因 キャンセルボタンを押す (どのユーザーにも紐づかないMFAデバイスが作成される) ↓ 同じ名前でMFAデバイスを作成しようとする (新規登録するにはMFAデバイスを一度削除してから作成する必要がある) ↓ MFAデバイスを削除する処理が裏で走る (デバイスを削除するための権限(Delete)が付与されてない) ↓
エラー
アジェンダ 01 02 03 エラー遭遇編 エラー調査編 エラー解決編
解決方法 iam:DeleteVirtualMFADevice 権限をポリシーに追加してあげることで解決!
削除権限追加は大丈夫なのか検討 ✓ MFAデバイス登録前ユーザーには極力権限を追加したくないな ➢ デバイス削除権限なんて追加してセキュリティ的に大丈夫? ➢ 他の人のデバイス削除されるとかない? ✓ そもそもこの権限追加する必要ある? ➢
管理者が削除コマンド実行でもいいのでは?
削除権限追加は大丈夫なのか検討 ◼ 検討の結果権限を追加することに ⚫ セキュリティ的には問題ない ➢ 他のユーザーのデバイスを削除するには、先に紐づけ解除が必要 ➢ 紐づけ解除できるのは、自分のデバイスだけ ➢
削除できるのは紐づけ解除が必要ない(誰とも紐づいてない)デバイスのみ! ⚫ 今後も発生する可能性のあるシチュエーション ➢ 間違えてキャンセルボタンを押してしまうのはあるある
まとめ ◆ ユーザーガイド通りに設定しても上手くいかないことがある ◆ 裏で実行されてるアクションまで追ってみると理解が深まる ◆ 権限を追加するときは安全性・必要性も確認しましょう