AWSのMFA(多要素認証)の実現方法とデバイス紛失時の対応

authenticaion Amazon Web Services
Amazon Web Services

個人のAWSアカウントでスマホのGoogle Authenticatorを使ったMFA(多要素認証)を使っていましたが、引き継ぎを忘れて機種変更してしまいました。

AWSのサポートに連絡し、MFAを解除し、更に再度Google Authenticatorで多要素認証を行ったのでその一連の方法を説明します。

この記事はこんな人におすすめ
  • AWSのMFAを他のデバイスに移したい
  • MFAデバイスを紛失、盗難、過失で移行できなかった
  • グローバルで電話番号を登録していない

AWSにおける多要素認証

まず、AWSでは多要素認証、すなわちIDとパスワード以外にハードウェアに紐づく認証情報の登録を推奨しています。

IDとパスワードはソーシャルハッキングや内部犯により漏れてしまうこともありますが、ログインをハードウェアと紐付けておけばよりセキュアにアカウントとIAMの管理が可能です。

またMFAの有効化も下記の記事より参照できます。

ハードウェアはスマートフォンアプリまたは専用のハードウェアトークンが使えますが、今は殆どがアプリでの利用かと思います。

AWS での多要素認証 (MFA) の使用 - AWS Identity and Access Management
IAM の多要素認証 (MFA) デバイス (または 2 要素認証) を使用して、AWS リソースにアクセスするためのセキュリティを追加します。

スマートフォンアプリでのMFAはGoogle製のアプリ、”Google Authenticator”によって導入することが可能です。

‎Google Authenticator
‎Google 認証システムを Google アカウントの 2 段階認証プロセスで使用して、ログイン時のセキュリティを強化できます。 2 段階認証プロセスでは、アカウントへのログイン時に、パスワードに加えて、このアプリで生成できる確認コードが必要となります。いったん設定しておけば、ネットワーク接続やモバイル接続を使用...

AWSでGoogle Authenticatorをアクティベートする

まずはAWSのマネージドコンソールへログインし、検索窓から「IAM」を選択します。

MFAを有効化していない場合、下記のメッセージが出ますので「MFAを有効」をクリックします。

次の画面で「MFAの有効化」をクリックすると下記のようなポップアップが出ます。

Google Authenticator利用の場合、「仮想MFAデバイス」を選択して「続行」をクリックします。

次の画面で「QRコードの表示」をクリックして表示されたコードをGoogle Authenticatorアプリからスキャンします。

アプリの方に現れた6桁のコードを2つAWSコンソールへ入力して下記のメッセージが出れば成功です。ログアウトして次のログインからGoogle Authenticatorによる多要素認証が要求されます。

MFA用のデバイスを紛失したら

Google Authenticatorは各デバイスにひも付きますので、デバイス(スマートフォン)変更の際はMFAも引き継ぎが必要です。

新しいデバイスにGoogle Authenticatorをインストールした上で前述の方法で新規にMFAデバイスを追加し、さらに旧デバイスのMFAを削除すればOKなのですが、誤って新しいスマートフォンを登録する前に旧デバイスを初期化した場合にはサポートを経由したMFAの初期化と再登録が必要です。

まずは通常通りIDとパスワードを入力しましょう。多要素認証の画面でMFAコードの入力を求められたら「MFAのトラブルシューティング」をクリックします。

「別の認証要素を使用したサインイン」をクリック。

メールアドレスに確認用のメールが来ます。それをクリアすると自動音声による認証に入ります。

AWSに登録した電話番号は+81で始まるグローバル番号である必要があります。090-XXXのような登録形式だと自動音声による認証ができません

自動音声による認証は案内どおり進めばOKです。自動音声認証ができない場合は「AWSサポートにお問い合わせください」をクリックします。

サポートチケット画面に遷移しますので下記の情報を入力してください。

  • 認証デバイスの問題
  • AWSアカウントのrootユーザーのメールアドレス
  • AWSアカウントID 
  • フルネーム
  • アカウントに記載されている電話番号
  • 連絡可能な代替電話番号 
  • サポート言語(日本語OK)

入力が完了したら当日または翌日営業時間にサポート窓口から電話がかかってきます。

電話口でメールアドレスを通達すると確認用のコードが送られてきます。さらに電話口でコードを伝えるとMFAコードの解除処理が行われます。

しばらくすると下記のようなメールが送られてきて処理が完了します。あとは前述の方法で再度MFA登録をすればOKです。

おわりに

この記事ではAWSでの多要素認証登録の方法と、万が一デバイスをなくしたり引き継ぎを忘れた場合の対処について説明しました。

Google Authenticatorはデバイスに紐づくため、機種変更の際にはわすれず移管しましょう。

今回は以上です。お読みいただきありがとうございました。

この記事が気に入ったら
いいね ! しよう

Twitter で

IT企業で働いています。このブログではIT、キャリア、資格などについて発信しています。My opinion is my own.

Huliをフォローする
the Biztech blog

コメント

タイトルとURLをコピーしました