結論
- MFAデバイスの新規登録が出来ない?と思ったら、MFAデバイスの名前にユーザー名を登録してみよう。
- 上手く登録出来たら管理者に教えてあげよう。
現象
昨日、8年振りに携帯電話を機種変し、意気揚々と新品のiPhone13miniをAWSのMFAデバイスとして登録しようとしたら、こんなエラー画面が出ました。
「あれ?アクセス許可って無かったっけ?」と思いながら、管理者に画面ショットを送り、連絡する。
年末の慌ただしい中、管理者も迷惑だろうなと思いながら返事を待つと、
「許可設定はされてます。(あらためて)確認いただきたく。」
との返事。
もう一度試してみたがダメだった。フム。。
原因 2022年11月16日以降のアップデートで、複数のMFAデバイスの登録が可能となったから。
エラーメッセージを読むと、「必要なアクセス許可がありません」と書いてある。
英語のメッセージにも同様なメッセージが書いてある。
ん?さっき私が任意で付けたMFAデバイスの名前「iPhone13mini」をクリエイト出来ないって書いてある?
昔、MFAデバイスに名前なんて付けたっけ?
ググってみたら、関係ありそうな記事を見つけた。
いつもお世話になってるサーバーワークスさんの記事だ。
記事によると、
2022年11月16日に発表された上記のアップデートは、これまで1つしか登録できなかった IAM User もしくは root アカウントユーザへの MFA のデバイスを、最大8個まで登録が可能となる機能強化のアップデートとなっています。
で、
MFA デバイスを1つ登録しようとした場合に表示される画面です。このように、今まで名前を記載するフィールドはなかったのですが、それが「必須」として表示されます。
で、
「1台のみ MFA デバイスが設定可能であった時代」には、ここにユーザ名が強制的に入力されておりましたので、この arn は問題なくいままで動作しておりました。
しかし、複数の MFA デバイスが登録できるようになったことで、デバイス名にはユーザが自由に名前を入力できるようになっています。このため、本制御がエラーを発生させてしまいます。
という現象が起きたようだった。
私の現象も多分これと同じだろう。
じゃあ、MFAデバイスの名前に私のユーザー名を付けてみよう。
上手くいきました。
他の人も困るかもしれないから、管理者にも伝えておこう。
ということで、結論に書いた通りとなりました。
めでたしめでたし。