LoginSignup
1
4

More than 3 years have passed since last update.

@damacchi

AWSのVirtual MFA Deviceを失ったときどうなるかとその予防

Posted at

最初にざっくりいうと

「MFA デバイスの割り当て」(Virtual Multi-factor Authentication device)にスマホを使うなら、
機種変するときに気をつけましょうね。デバイスなくなるとホントに入れないからね。
という話。その後の大変だったお話と、その後ワタシが見つけた他に乗ってない(はずの)予防法についても記載します。
参考になったらLGTMしてね!(「いいね!」じゃなくていいにくい…)

ことのはじめ

AWS好きなので日々いろんなサービスをありがたーく使わせております。
で、2016年ごろから「rootで作業するな、認証は2段階にしろ」というお達しがあったので、素直にポリシ、グループ、ユーザを細かく作った上で、root他多数のユーザはスマホをデバイスとしたMFA(Multi-Factor Authentication)で2段階認証するようにしました。

時を経て、すっかりrootのMFAのことを忘れていたワタシはある時
:angry:今のスマホは大きすぎる!
と思ってスマホをunihertz Atomに変えたわけですよ。

さらに時を経て、2020年3月末。COVIT-19の状況から
そうだ、Amazon Workspaceを使おう!でも、権限付与してないから久々にrootで入らないとなぁ
と思って入ろうとした時に気が付きました。

:cold_sweat:認証のアレないやん!

…ここから長い旅の始まりとなりました。

そんなときのための「別認証」も失敗

GoogleのもMFA使ってますが、あちらは他のデバイスで認証とかもできるので、他のデバイスで認証後改めて「認証のアレ」を取得できたのですが…
AWSはそういうのがない。

まぁでも別の認証方法でやればいいさ

というわけで、次の方法はSMSでワンタイムパスワードを発行後、さらに登録している電話番号で認証するというやり方。
そういうふうにWebにもあります。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_lost-or-broken.html

で、そのとおりやろうとしたら…なんかうまくいかない!

何回かやったけど、SMSはくるのに、その後の手順による「電話」が来ない!

:cold_sweat:おかしいでしょ!SMSと同じ番号よ!

とは言え、もうどうしようもなく、しばらく問題を放置することにしました。1

サポートセンターにお問い合わせ

さらに時が流れ4月下旬:mask:。あっという間にテレワークが進みましたが、我が職場は輪番休暇というなんともIT業界とは思えない対応となり、ともあれ自宅にいる時間が増えたのでAWSのMFAの件を解決させておくか!と思い立って問合せすることにした。

認証失敗した画面にあるリンク(画をとっておけばよかった…)から進むと
サポートセンターへの問い合わせする内容を入力させる画面になり
ID(直前の画面にもあるし、SMS送信したメールにも、毎月の明細にもある)などを入れさせて
サポート言語(日本語!)
を入れて、待つことにした。

すると、翌日朝9:00過ぎに札幌から見知らぬ電話。
あやしいなぁ(←前日問い合わせしたのを忘れている)
とか思いながら電話にでると

:woman_tone1:「AWSカスタマーセンターですぅ」

という声。あーお願いします。

途中、本人確認がありましたが、ここではざっくりと。
ユーザ情報に登録していた電話がつながったので割と簡単だったかな。
こちらの方は引っ越しもしたためか「MFA解除に必要な書類」までとったらしいですが、ワタシはそこまで求められませんでした。

:woman_tone1:「お客様のアカウントですね、MFAの設定がすでに解除されているようです。お手数ですが、いま改めて操作いただけませんか?」

へぇ?でもまぁ操作するけど、やっぱりダメ。

:cold_sweat:「今もMFA入力を求められます。」
:woman_tone1:「そうですか、すみません。改めてこちらでお調べして見ます」
…(1分ほど)
:woman_tone1:「こちらの不具合かもしれません。ここでは一旦rootのMFAを削除します。パスワードだけでログオンできる状態になりますので、改めてMFAの設定をおすすめします」

おお、なんと素早い。ありがとう。 2

こんな流れで改めてrootでログオンできましたとさ。
rootで入れれば、他のユーザのMFAは自分で削除できるからね。

予防しなきゃ

とはいえ、普段使わないアカウントのことを忘れないようにするのはしんどいですなぁ…と考え、対策はないものかと調べると
https://forums.aws.amazon.com/thread.jspa?messageID=315984
この投稿にたどり着きました。
お互いに奥歯にものが挟まった言い方をしているようですが…そりゃま仕方ないわな。

表示されるQRコードをバックアップしとけばいいじゃないか

ということですね。まぁでもちょっと抵抗がありますね。というわけで、ワタシは以下の対応で。

あらかじめ複数の端末にAuthenticatorをインストールしておき
MFR登録のQRコード表示時にそれら複数の端末で認証キーを取り込む

これならバックアップしたQRコードの保管に悩まないし、複数の端末にあれば
「やっちまった!:scream_cat:
という今回のワタシのようなことはなくなるかと思います。

これでダメになるときは…
・忘れすぎて全部の端末からMFA消す
・(あまり考えたくないですが)天災などで全端末が一気に使えなくなる
ぐらいでしょうか。

最後に

AWSの日本語サポートって案外親切でした。もっと冷たい対応されるのかなぁと思ってたので。
ありがとう。

  1. 権限の少ないユーザは利便性のためにMFA使ってなかったので、最低限の作業はできていた。 

  2. 後からアカウント情報を見ても電話番号登録に誤りはなかった。そりゃそうだわなSMSは来るんだから…結局なんで失敗してたのかはわからなかった。 

1
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
4