対象環境&読者
対象環境
- AWS
- Google Authenticatorなど、スマホの認証アプリ
対象読者
- MFAデバイスにGoogle Authenticatorなどのスマホ認証アプリを使用しているのに、スマホ故障や紛失、機種交換してMFAできないかた
MFAログインできない!
ある日の出来事。久しぶりにルートユーザーでAWSのマネジメントコンソールへのログインを試みる。MFAコードを要求されたので、MFAデバイスのGoogle Authenticatorを起動。ところが、機種交換したためにGoogle Authenticatorが初期化されて使えないことに気付く。
やべー! 機種交換したら、Google Authenticatorに以前の設定が残ってないの?
調べてみると、どうやらそういうものらしい。機種交換前に移行作業が必要とのこと。
だけれど、リカバリー方法はあるだろう。ネットを検索しつつ、リカバリーを試みた。
リカバリーを試みる
登録したメールアドレスに「AWS Email Verification」というタイトルのメールが送られてくるので、メール内の「Verify your email address」をクリックする。
このようになった原因は、国番号付きで電話をかけるときは先頭のゼロを省略するので、登録が間違っていたらしい。
電話番号:090-XXXX-XXXX
国番号付き:+81-90-XXXX-XXXX
登録すべき部分:90-XXXX-XXXX
どうすればいいんだ、俺、?
AWSへ問い合わせ
サポートへの問い合わせを決断。IAMユーザーはMFAを使っていなかったので、IAMユーザーでログインして問い合わせを起票。あとは待つだけ。
心待ちにしていると、申し訳なさそうな回答と共に専用の窓口を案内される。内部でスイッチできないのね...。コチラはサインイン不要です。
Lost or unusable Multi-Factor Authentication (MFA) device
https://aws.amazon.com/forms/aws-mfa-support上記リンクをクリックすると、以下のページが表示される。「I'm still having...」のほうをクリックする。最初は「Sign-in to AWS」をクリックして、普通のコンソールが表示されて意味不明で悩んだ。間違えないように。
「I'm still having...」をクリックすると、下に入力エリアが出現。これらを入力し、末尾の「Submit」をクリックして完了。
後ほどAWSから電話がかかってきて、個人認証を済ませるとMFAを無効にしてくれるとのこと。解除まで時間がかかるかもしれないと言われたが、すぐに解除完了のメールが来た。
これで問題は解決。パスワードログイン可能になっているので、MFAを再設定して完了だ。
MFAデバイス比較
https://aws.amazon.com/jp/iam/details/mfa/
MFAデバイスの設定ページ
https://console.aws.amazon.com/iam/home?#security_credential
私みたいなライトユーザーに丁寧なサポートをありがとうございます。月に数万円以上使っているならまだしも、年間でもそれほど使っていないのに、こんな対応していたら大変そう。
教訓
- 機種変更するときは、MFAデバイスの情報をエクスポートするべし。もしくはMFAを一時的に無効にする
- MFAデバイス紛失に備えて、電話での認証が可能か確認しておこう
- もしくは、エクスポートしたQRコードのスクショを別の場所に保存していてもいいかもしれない(未検証)
- それでもダメなときは、上記の問い合わせフォームを使おう