Amazon Workspaces / AWS Client VPN を多要素認証に対応させる方法


この時期、リモートワークの手段として、Aamzon Workspaces や AWS Client VPN を試そうとしてる方もいるんじゃないかと思います。

どちらも、多要素認証(MFA)が可能なので少しだけ書いておきます。

Workspaces の MFA について

公式の対応記事

Multi-Factor Authentication for Amazon WorkSpaces
https://aws.amazon.com/jp/blogs/aws/multi-factor-auth-for-workspaces/

具体的な方法

多要素認証による Amazon WorkSpaces の利用
https://www.slideshare.net/AmazonWebServicesJapan/amazon-workspaces-86568155

以前、こちらの記事でAWS Single Sign-On を 多要素認証(MFA) に対応させる方法を書きましたが、多要素認証に対応させる部分は流用できます。方法はほぼ同じで、こちらはAD Connector を使っています。

どちらも、別途RADIUSサーバーを用意してMFAを実現しています。
簡単な流れは次のようになります。

  1. 多要素認証用のRADIUSサーバーを用意する
  2. AWS Managed Microsoft AD の多要素認証を有効にするか、AD Connector の多要素認証を有効にして、RADIUSサーバを設定に追加する
  3. Workspaces で利用するディレクトリとして、多要素認証を有効にしたディレクトリを指定すると

MFAに対応させると、ログイン時にMFAコードを求められるようになります。

Client VPN の MFA について

公式の対応記事

AWS Client VPN が Active Directory 用の多要素認証をサポート
https://aws.amazon.com/jp/about-aws/whats-new/2019/09/aws-client-vpn-now-supports-multi-factor-authentication-for-active-directory/

具体的な方法

Workspaces と同じ手順でAWS Managed Microsoft AD の多要素認証を有効にするか、AD Connector の多要素認証を有効にすればOKです。

AWSが提供しているClient VPN接続ツールを使うと、このような感じで接続時にMFAコードを求められるようになります。