Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
MFA必須化でハマった謎エラー
Search
Hibiki
July 24, 2025
0
4
MFA必須化でハマった謎エラー
Hibiki
July 24, 2025
Tweet
Share
More Decks by Hibiki
See All by Hibiki
Network FirewallとTransit Gateway統合
hibikisuaga
2
71
NW-JAWS VPC間接続のまとめ
hibikisuaga
0
1
NW-JAWS ルートテーブルとエンドポイント入門
hibikisuaga
2
650
Amplify_Reactで爆速アプリ開発.pdf
hibikisuaga
0
18
Featured
See All Featured
jQuery: Nuts, Bolts and Bling
dougneiner
64
7.9k
Rails Girls Zürich Keynote
gr2m
95
14k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
840
Intergalactic Javascript Robots from Outer Space
tanoku
272
27k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
The Straight Up "How To Draw Better" Workshop
denniskardys
236
140k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.9k
RailsConf 2023
tenderlove
30
1.2k
How to train your dragon (web standard)
notwaldorf
96
6.2k
Scaling GitHub
holman
463
140k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Bash Introduction
62gerente
615
210k
Transcript
MFA必須化でハマった謎エラー ~内部アクションの解説も添えて~ 須永 響 伊藤忠テクノソリューションズ株式会社
須永 響 Hibiki Sunaga CTC(伊藤忠テクノソリューションズ株式会社 ) 新卒3年目 業務:AWSインフラ基盤の設計・構築 コミュニティ活動:NW-JAWS運営 :@gravitas580
About Me
アジェンダ 01 02 03 エラー遭遇編 エラー調査編 エラー解決編
アジェンダ 01 02 03 エラー遭遇編 エラー調査編 エラー解決編
MFAは大事 MFA(Multi Factor Authentication)
MFA必須化の実装 IAMユーザーに対してMFAを必須化しよう ↓ AWSユーザーガイドにMFA必須化用ポリシーがあるので採用 IAM: IAM ユーザーに MFA デバイスの自己管理を許可する -
AWS Identity and Access Management ↓ よし!実装できた! 完
なんだこのエラーは? ⚫ 後日こんなお問い合わせが。。。 なんかエラーが出てMFAを登録できない
なんだこのエラーは? ⚫ Delete権限がないー?なんだそれ?ユーザーガイド通り作ってるよー ⚫ 既に存在しているー?IAMユーザーの認証情報みてもMFA登録されてないんだけどー
アジェンダ 01 02 03 エラー遭遇編 エラー調査編 エラー解決編
調査開始 ⚫ How:どうやって解決すれば? ⚫ Why:なぜエラーが起きる?
解決方法 ⚫ インターネットで先人たちのナレッジを覗いてみると、あら簡単 ⚫ エラー内容通り「iam:DeleteVirtualMFADevice 」をポリシーに追加すれば解決するらしい ➢ もしくはdelete-virtual-mfa-deviceコマンドでデバイスを削除してあげる
解決方法の深堀り ⚫ でもなんで「 iam:DeleteVirtualMFADevice 」が必要なの? ⚫ 調査してみましょう!
MFAデバイス操作の内部構造 ⚫ MFAデバイス操作で発生するアクションを調査してみる ➢ デバイス作成 ~ デバイス削除 までやってみて、CloudTrailログを確認 ⚫ 調査の結果
➢ MFAデバイスの作成時・削除時以下のアクションが実行されていることが判明 MFAデバイスを作るとき MFAデバイスの作成 CreateVirtualFMADevice ↓ MFAデバイスをユーザーに紐づけ EnableMFADevice MFAデバイスを削除するとき MFAデバイスとユーザーの紐づけ解除 DeactivateMFADevice ↓ MFAデバイスの削除 DeleteVirtualMFADevice
MFAデバイス情報を確認 ⚫ そして、アカウント内のMFAデバイス一覧を確認するコマンドを実行してみると、 どのユーザーにも紐づいていないMFAデバイスがある 通常はMFAデバイスが 紐づくユーザー情報がある MFAデバイスがどのユーザ ーとも紐づいてない
紐づいてないデバイスの謎 ⚫ つまり、エラーが起こっていたデバイスは 作成(Create)はされてるけど、紐づけ(Enable)はされてない!
紐づいてないデバイスの謎 ⚫ じゃあ、いつMFAデバイスは作成されてるの? ➢ デバイス登録を進めながら、画面遷移ごとにデバイス登録情報を listコマンドで確認 ➢ デバイス名入力画面 → デバイス登録
の画面遷移時にデバイス作成(Create)されていた
紐づいていないデバイスの謎 ⚫ 通常は「MFAを追加」を実行して、ユーザーとの紐づけが実行される ⚫ キャンセルボタンを押すと、、、 ➢ どのユーザーにも紐づかないまま、デバイス情報だけ残ってしまう!
エラーの原因 キャンセルボタンを押す (どのユーザーにも紐づかないMFAデバイスが作成される) ↓ 同じ名前でMFAデバイスを作成しようとする (新規登録するにはMFAデバイスを一度削除してから作成する必要がある) ↓ MFAデバイスを削除する処理が裏で走る (デバイスを削除するための権限(Delete)が付与されてない) ↓
エラー
アジェンダ 01 02 03 エラー遭遇編 エラー調査編 エラー解決編
解決方法 iam:DeleteVirtualMFADevice 権限をポリシーに追加してあげることで解決!
削除権限追加は大丈夫なのか検討 ✓ MFAデバイス登録前ユーザーには極力権限を追加したくないな ➢ デバイス削除権限なんて追加してセキュリティ的に大丈夫? ➢ 他の人のデバイス削除されるとかない? ✓ そもそもこの権限追加する必要ある? ➢
管理者が削除コマンド実行でもいいのでは?
削除権限追加は大丈夫なのか検討 ◼ 検討の結果権限を追加することに ⚫ セキュリティ的には問題ない ➢ 他のユーザーのデバイスを削除するには、先に紐づけ解除が必要 ➢ 紐づけ解除できるのは、自分のデバイスだけ ➢
削除できるのは紐づけ解除が必要ない(誰とも紐づいてない)デバイスのみ! ⚫ 今後も発生する可能性のあるシチュエーション ➢ 間違えてキャンセルボタンを押してしまうのはあるある
まとめ ◆ ユーザーガイド通りに設定しても上手くいかないことがある ◆ 裏で実行されてるアクションまで追ってみると理解が深まる ◆ 権限を追加するときは安全性・必要性も確認しましょう
hibikisuaga
dougneiner
gr2m
addyosmani
tanoku
aarron
denniskardys
danielanewman
tenderlove
notwaldorf
holman
caitiem20
62gerente
