個人のAWSアカウントでスマホのGoogle Authenticatorを使ったMFA(多要素認証)を使っていましたが、引き継ぎを忘れて機種変更してしまいました。
AWSのサポートに連絡し、MFAを解除し、更に再度Google Authenticatorで多要素認証を行ったのでその一連の方法を説明します。
AWSにおける多要素認証
まず、AWSでは多要素認証、すなわちIDとパスワード以外にハードウェアに紐づく認証情報の登録を推奨しています。
IDとパスワードはソーシャルハッキングや内部犯により漏れてしまうこともありますが、ログインをハードウェアと紐付けておけばよりセキュアにアカウントとIAMの管理が可能です。
またMFAの有効化も下記の記事より参照できます。
ハードウェアはスマートフォンアプリまたは専用のハードウェアトークンが使えますが、今は殆どがアプリでの利用かと思います。

スマートフォンアプリでのMFAはGoogle製のアプリ、”Google Authenticator”によって導入することが可能です。

AWSでGoogle Authenticatorをアクティベートする
まずはAWSのマネージドコンソールへログインし、検索窓から「IAM」を選択します。
MFAを有効化していない場合、下記のメッセージが出ますので「MFAを有効」をクリックします。

次の画面で「MFAの有効化」をクリックすると下記のようなポップアップが出ます。
Google Authenticator利用の場合、「仮想MFAデバイス」を選択して「続行」をクリックします。

次の画面で「QRコードの表示」をクリックして表示されたコードをGoogle Authenticatorアプリからスキャンします。

アプリの方に現れた6桁のコードを2つAWSコンソールへ入力して下記のメッセージが出れば成功です。ログアウトして次のログインからGoogle Authenticatorによる多要素認証が要求されます。

MFA用のデバイスを紛失したら
Google Authenticatorは各デバイスにひも付きますので、デバイス(スマートフォン)変更の際はMFAも引き継ぎが必要です。
新しいデバイスにGoogle Authenticatorをインストールした上で前述の方法で新規にMFAデバイスを追加し、さらに旧デバイスのMFAを削除すればOKなのですが、誤って新しいスマートフォンを登録する前に旧デバイスを初期化した場合にはサポートを経由したMFAの初期化と再登録が必要です。
まずは通常通りIDとパスワードを入力しましょう。多要素認証の画面でMFAコードの入力を求められたら「MFAのトラブルシューティング」をクリックします。

「別の認証要素を使用したサインイン」をクリック。

メールアドレスに確認用のメールが来ます。それをクリアすると自動音声による認証に入ります。
※AWSに登録した電話番号は+81で始まるグローバル番号である必要があります。090-XXXのような登録形式だと自動音声による認証ができません。

自動音声による認証は案内どおり進めばOKです。自動音声認証ができない場合は「AWSサポートにお問い合わせください」をクリックします。
サポートチケット画面に遷移しますので下記の情報を入力してください。
- 認証デバイスの問題
- AWSアカウントのrootユーザーのメールアドレス
- AWSアカウントID
- フルネーム
- アカウントに記載されている電話番号
- 連絡可能な代替電話番号
- サポート言語(日本語OK)
入力が完了したら当日または翌日営業時間にサポート窓口から電話がかかってきます。
電話口でメールアドレスを通達すると確認用のコードが送られてきます。さらに電話口でコードを伝えるとMFAコードの解除処理が行われます。
しばらくすると下記のようなメールが送られてきて処理が完了します。あとは前述の方法で再度MFA登録をすればOKです。

おわりに
この記事ではAWSでの多要素認証登録の方法と、万が一デバイスをなくしたり引き継ぎを忘れた場合の対処について説明しました。
Google Authenticatorはデバイスに紐づくため、機種変更の際にはわすれず移管しましょう。
今回は以上です。お読みいただきありがとうございました。
コメント