3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

AWSでMFAを使っているのに機種交換したらサインインできなくなった話

Last updated at Posted at 2021-04-10

対象環境&読者

対象環境

  • AWS
  • Google Authenticatorなど、スマホの認証アプリ

対象読者

  • MFAデバイスにGoogle Authenticatorなどのスマホ認証アプリを使用しているのに、スマホ故障や紛失、機種交換してMFAできないかた

MFAログインできない!

ある日の出来事。久しぶりにルートユーザーでAWSのマネジメントコンソールへのログインを試みる。MFAコードを要求されたので、MFAデバイスのGoogle Authenticatorを起動。ところが、機種交換したためにGoogle Authenticatorが初期化されて使えないことに気付く。

やべー! 機種交換したら、Google Authenticatorに以前の設定が残ってないの?

調べてみると、どうやらそういうものらしい。機種交換前に移行作業が必要とのこと。

だけれど、リカバリー方法はあるだろう。ネットを検索しつつ、リカバリーを試みた。

リカバリーを試みる

  1. こんどはMFAコードの入力画面で「MFAのトラブルシューティング」をクリックする。
    awsconsole04-1.png

  2. トラブルシューティングページが表示されるので「別の要素を使用したサインイン」をクリックする。
    awsconsole05-1.png

  3. ステップ1で「確認Eメールの送信」をクリックする。
    awsconsole06-1.png
    awsconsole07.png

  4. 登録したメールアドレスに「AWS Email Verification」というタイトルのメールが送られてくるので、メール内の「Verify your email address」をクリックする。

  5. メールのリンクをクリックするとステップ2が表示されるので「すぐに連絡を受ける」をクリックする。
    awsconsole08-1.png

  6. あとは電話が来るのを待つだけ。だけれど来ないし、画面には「完了できませんでした」の文字。ガーン!
    awsconsole09.png

  7. このようになった原因は、国番号付きで電話をかけるときは先頭のゼロを省略するので、登録が間違っていたらしい。
    電話番号:090-XXXX-XXXX
    国番号付き:+81-90-XXXX-XXXX
    登録すべき部分:90-XXXX-XXXX

どうすればいいんだ、俺、?

AWSへ問い合わせ

  1. サポートへの問い合わせを決断。IAMユーザーはMFAを使っていなかったので、IAMユーザーでログインして問い合わせを起票。あとは待つだけ。
    awsconsole12.png

  2. 心待ちにしていると、申し訳なさそうな回答と共に専用の窓口を案内される。内部でスイッチできないのね...。コチラはサインイン不要です。
    Lost or unusable Multi-Factor Authentication (MFA) device
    https://aws.amazon.com/forms/aws-mfa-support

  3. 上記リンクをクリックすると、以下のページが表示される。**「I'm still having...」のほうをクリックする。最初は「Sign-in to AWS」**をクリックして、普通のコンソールが表示されて意味不明で悩んだ。間違えないように。
    awsconsole10.png

  4. 「I'm still having...」をクリックすると、下に入力エリアが出現。これらを入力し、末尾の「Submit」をクリックして完了。
    awsconsole11.png

  5. 後ほどAWSから電話がかかってきて、個人認証を済ませるとMFAを無効にしてくれるとのこと。解除まで時間がかかるかもしれないと言われたが、すぐに解除完了のメールが来た。

これで問題は解決。パスワードログイン可能になっているので、MFAを再設定して完了だ。

MFAデバイス比較
https://aws.amazon.com/jp/iam/details/mfa/
MFAデバイスの設定ページ
https://console.aws.amazon.com/iam/home?#security_credential

私みたいなライトユーザーに丁寧なサポートをありがとうございます。月に数万円以上使っているならまだしも、年間でもそれほど使っていないのに、こんな対応していたら大変そう。

教訓

  • 機種変更するときは、MFAデバイスの情報をエクスポートするべし。もしくはMFAを一時的に無効にする
  • MFAデバイス紛失に備えて、電話での認証が可能か確認しておこう
  • もしくは、エクスポートしたQRコードのスクショを別の場所に保存していてもいいかもしれない(未検証)
  • それでもダメなときは、上記の問い合わせフォームを使おう
3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?