AWSアカウントのMFAは、格安SIMに変えて、電話番号が変わっても大丈夫。
#MFA(Multi-Factor Authentication)とは
多要素認証。IDとパスワードだけでの認証ではなく、別の端末(電話番号やスマホアプリなど)を使って認証する方式。
万が一情報流出等によってアカウントが乗っ取られた際、高額請求などの危険性があるため、AWSアカウントを作ったらすぐ設定すべきとよく言われている。
#この記事で伝えたいこと
私はAWSのMFAにGoogleAuthenticatorを使っている。
この認証情報はアプリに登録されているので、電話番号が変わっても、(スマホが変わらなければ)大丈夫。
##経緯
そもそもなんでそんなことを(しかも記事投稿に使っていなかったQiitaで)書こうと思ったかという経緯を軽く説明したい。
昨年末、きっかけがあって格安SIMに変更した。
MNPを利用して電話番号を持って移動すると手数料3240円がかかってしまうこと、番号に特に執着がなかったため、新規でSIM変更。
使っている 機種(iPhone)はそのまま で。
流れでわりと突然の変更だったため、電話番号変更による影響は整理しないまま手続きをした。
AWSについては、駆け出しのエンジニアとしては最低限履修しておくべきと思ったため、以前、アカウントを作成していろいろ遊んでいた。が、しばらく放置していたので忘れていた。
ついさっきふと、CloudFrontにhtmlファイルを置きっぱなしだったことを思い出し、ログインを試みた。
IDとパスワードの後、MFAの認証コードを入力したところ、認証エラーになった。
パスワード入力後、MFAの画面に推移しているので、MFAの問題と思い、そこで青ざめた。
電話番号が変わったのが原因ではないかと思ったのだ。
いろいろ調べたが、AWSのMFA関連のQAには、デバイスの故障紛失による端末変更の際の対応が書かれていたものの、電話番号の変更については記載がなかったので、カスタマーサポートに問い合わせをしようと思ったが、MFA関連は 英語の電話 がかかってきて云々とあり、ためらった。
IAMユーザのMFAで、キーなどがテキストとしてPC内にあったりする場合は、CLIなどでできるらしいが、ルートアカウントでそういう方法があるのかはわからなかったし、そもそも使っていないアカウントなのでEC2も止めてあるし、すぐにAWS_CLIが使える環境が用意できるわけではない。
いろいろ考えているうちに、
「トークンはスマホアプリ以外にも存在する1」=「電話番号は関係ないのでは」
という(よく考えれば)至極当たり前のことに気づき、「パスワードを間違えていた」という可能性にかけてパスワードを再設定。
新しいパスワードと、アプリに表示されている認証コードでログインができた。
…そもそもパスワード間違えなければこんなことにはならなかったのだけれど。
-
トークンにはカードタイプなど専用の端末もある。企業などでは鍵のかかるロッカーにトークン端末を入れておいて管理していることもあるとかないとか。 ↩