IT Tips:自分のスマホのMFAが機能せずAWSアカウントにサインインできなくなった場合の対処法
:
解説)AWS(Amazon Web Service)のルートアカウントのサインインには2段階の認証設定ができます。第1段階はよくある「ユーザー名+パスワード」、第2段階は「MFA(Multi-Factor Authentication)」設定です。今回この2段階認証を設定していた状況で自分のスマホのMFAが機能しなくなり第2ステップの認証ができないためサインインできないという経験をしたので備忘録として対処内容をここに記載します。
AWSアカウント(ルートユーザー)へサインインできない
第1段階:「ユーザー名+パスワード」は覚えていた
第2段階:自分のスマホのMFAが機能せずMFAコードが取得できない
1. 通常IAMユーザーとしてAWSへサインインしていると以下のサイトが表示されます。この場合はまず左下段にある「ルートユーザーのEメールを使用したサインイン」をクリックします。(この画面でアカウントIDやユーザー名、パスワードの入力は不要)
2. AWSルートアカウントにサインインするには、下図の「サインイン」画面にて、「ルートユーザー」を選択し「ルートユーザーのEメールアドレス」欄にAWSアカウントに設定しているEメールアドレスを入力、「次へ」を押下します。
3. 遷移した「ルートユーザーサインイン」画面にてパスワードを入力し「サインイン」をクリックします。これで第1段階の「ユーザー名+パスワード」でのサインインは完了です。
4. 下図の「多要素認証」画面に遷移します。しかし自分のスマホのMFAが機能しないので「MFAコード」を取得できません。そこで「MFAのトラブルシューティング」をクリックし打開を図ります。
5. 下図の「認証デバイスのトラブルシューティング」画面に遷移します。スマホのMFAが機能しないので上段の「AWSサーバーとの再同期」は選択できず。下段の「別の認証要素を使用したサインイン」領域内の「別の要素を使用したサインイン」をクリックします。
6. 下図の「別の認証要素を使用したサインイン」画面に遷移します。ステップ3のサインインの前に2つのステップの突破が必要です。ステップ1はEメール、ステップ2は電話です。まずステップ1「Eメールアドレスを検証する」にて「確認Eメールの送信」をクリックします。
7-1. 下図の画面に切り替わりメッセージが表示されます。
7-2. 同時に下図のような「AWS Email Verification」メールが対象のEメールアドレスに送付されます。送付されたら15分以内にメール内の「Verify your email address」をクリックするか、または「Or copy and paste the link below into your browser」の下段の長いリンクをクリックまたはコピーペースト対応します。
7-3. すると表示されていた「別の認証要素を使用したサインイン」画面が下図のように自動的に切り替わります。これでまずステップ1のEメールを突破です。ステップ2の電話番号の確認が表示されていますので「すぐに連絡を受ける」をクリックしステップ2へ移ります。
8. これでAWSに事前に登録してある自分のスマホに6ケタのコードが送られてくるはずなのですが今回は何も起こりませんでした。登録した電話番号に誤りがある場合はエラーメッセージがでるようなのですが、特にそれもありません。(後で確認したところ電話番号はきちんと設定できていたようなので結局のところコードが送付されなかった理由は不明です。)しかたがないので上記画面の「AWSサポートにお問い合わせください」をクリックして事態の打開を図ります。以下の画面が開きます。
9. 上図の「Lost or unusable Multi-Factor Authentication(MFA) device」画面が開きます。最初は下段の「Request assistance with lost or unusable MFA device」領域はまだ表示されていません。「I’m still having problems and would like to contact AWS Support」をクリックするとこの領域が表示されます。各項目に必要事項を入力し「Submit」します。項目は以下ご参考。
※1 Problem with authentication device:初期値の「My device was lost, stolen,or damaged」のままで良いと思います。
※2 AWS account root user email address:登録してあるEメールアドレス
※3 AWS account ID:AWSアカウントID(オプションです)
※3 Full name:氏名(下記で英語を選択する場合はローマ字が良いと思います。)
※4 Alternate phone number where you can be reached: スマホの電話番号(オプションですが入力しておいた方が良いと思います。)
※5 Support language:日本語、英語のどちらでもリクエストできるようですが日本語の場合は平日9:00-18:00限定のようです。自分が対処したのが金曜日の18:00直前だったこともあり早く対応してもらいたかったので思い切って「English」を選択しました。
10. リクエストをSubmitすると早々に上記のメールが送付されました。また30分以内ぐらいに自分のスマホに直接電話が掛かってきました。日本国内の電話番号でしたが「English」を選択していたこともあり英語での会話となりました。インドなまりっぽい感じの英語で少し聞き取りづらかったのですが、こちらの英語力に合わせてゆっくりと丁寧に話してくれました。最初の質問として電話にでた自分がリクエストした本人か確認するために名前と上記メール内に記載されているOne-Time-Password(OTP)を確認されます。AWSサポートサービスでできるのはMFAデバイスを無効化する(つまり2段階認証を停止する)ことだけのようなので早速無効化してもらいました。無事にAWSルートユーザーにサインインができました。
