MFA デバイスが故障または紛失した場合のセルフサービスによるリセットの方法

みなさんこんにちは、アマゾン ウェブ サービス ジャパン、プロダクトマーケティング
シニアエバンジェリストの亀田です。

今日はサポートに多くお問い合わせをいただく、MFA（多要素認証トークン）紛失時のリセット方法をお伝えします。

AWS リソースのセキュリティを確保するため、ログインID（メールアドレス）とパスワードによるログイン認証に加えて、もう１つの認証要素であるMFA (多要素認証トークン) を組み合わせて認証（ログイン）することで、よりセキュアにアカウントを管理いただけます。

今回は、MFAをアカウント設定後に、ルートユーザーで設定された MFA デバイスが故障または紛失した場合の対処方法についてご案内します。昔はこの場合サポートへの問い合わせが必須でしたが、今はセルフサービスでリセットしていただくことが可能になっています。

【故障または紛失したMFAデバイスを解除する】

故障または紛失したMFA デバイスをリセットする方法を説明します。

MFA デバイスをリセットするには、ルートユーザーに関連付けられている E メールアドレスと電話番号を知っていて、該当Eメールアドレスからのメール受信と該当電話番号で電話に出る事ができる必要があります。

故障または紛失したMFA デバイスをリセットするには、次の手順に従います。

1.      AWS サインインページに移動し、ルートユーザーの E メールアドレスを入力します。

2.      [ルート ユーザーサインイン] ページで、ルートユーザーのパスワードを入力します。

3.      認証デバイス（MFAデバイス）を使用するサインインページで、[認証デバイスに問題がありますか？ここをクリック]をクリックしてください。

4.      [Troubleshoot Your Authentication Device] ページで、
[Sign In Using Alternative Factors of Authentication] の [Sign In using alternative factors] を選択します。

5.      [ステップ 1: E メールアドレスを検証する] で、E メールアドレスが正しいことを確認し、[確認Eメールの送信] を選択します。（Eメールアドレスは一部が*****と記載されます。）

6.      AWS は、ルートユーザーに関連付けられたEメールアドレスに、件名「 AWS Email Verification 」の E メールを送信します。 確認メールがアドレスに送信された後、次のスクリーンショットで示しているように、ステップ1の下に「E メールが送信されました」と表示されます。 ルートユーザーの受信トレイに確認メールが表示されない場合は、迷惑メールフォルダを確認するか、ステップ 1 で [Eメールを再送信してください] を選択します。 確認メールを見つけたら、現在のブラウザタブを閉じることができます。続けて受信した確認 メールに記載されている指示に従って、確認プロセスを続行します。

7.      件名 [AWS Email Verification]の 確認メールで、[Verify your email address] を選択します。

8.      [Verify your email address]のリンクをクリックすると、メールアドレスの確認は完了です。次に確認プロセスのステップ 2 に進みます。 [ステップ 2: 電話番号の確認] で、[すぐに連絡を受ける] を選択して、電話番号の確認プロセスを開始します。

アカウントに登録の電話番号が利用できない場合、AdministratorAccess または

「aws-portal：ViewAccount」および「aws-portal：ModifyAccount」の権限を持つ IAM ユーザによりアカウントに登録の電話番号を更新することができます。

もし該当する IAM ユーザをお持ちでしたら、そちらのユーザにて MFA 解除希望のアカウントにサインインし、ドキュメントに沿って利用可能な電話番号に更新した上でお試しください。

9.      AWS からの電話に応答し、電話のキーパッドを使用して、コンピュータの画面に表示される 6 桁の認証コードを入力します。

10.      ルートユーザーのメールアドレスと電話番号を確認したら、「ステップ 3: サインイン」に進みます。 ステップ 3 で、[コンソールにサインイン] を選択して AWS マネジメントコンソールにサインインします。

[セキュリティ認証情報] ページに自動的にリダイレクトされます。 MFA デバイスが紛失した場合は、多要素認証（MFA）のタブにあるアクション配下の[管理] を選択して「削除」を選択し、 MFA デバイスを無効にします（次のスクリーンショットを参照）。

11.      MFA デバイスの無効化に成功しました。  故障または紛失したMFA デバイスに関連付けられている詳細情報がコンソールに表示されなくなります。 これで、[MFAの有効化] オプション（次のスクリーンショットを参照）が表示され、新しい MFA デバイスを登録できます。

注1: 2017 年 9 月 14 日以後に作成された AWS アカウントを使用している場合は、上記手順3の“認証（MFA）デバイスを使用してサインインする”と手順4”認証デバイスのトラブルシューティングを行う”の部分に関しては、コンソールページの表示が異なる場合があります。ただし、同じ機能が提供されています。

注2: このブログ記事で説明している手順は、アカウントに関連付けられた電話番号をご利用可能なルートユーザーのみが使用できます。ルートユーザーではなく、IAMユーザのMFAデバイス解除はこのブログ記事の手順ではなく、ルートユーザーでサインインの上、IAMマネジメントコンソールより解除してください。解除方法はこちらをご参照ください。

アカウントに関連付けられた有効な電話番号がないまたは不明である場合、アカウント情報の編集権限があるIAMユーザーで利用可能な電話番号へ変更していただくか、または MFA デバイスをリセットするリクエストを送信する必要があります。

今回のご紹介した手順を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、こちらよりMFAデバイス解除のリクエストをお送りください。日本語と英語のリクエストに対応しています。日本語での対応をご希望の場合、「Support language」で「Japanese」をご選択ください。

MFAデバイスの登録や解除については、以下の資料もご参照できます。

Using Multi-Factor Authentication (MFA) in AWS
MFAデバイスの有効化
MFA デバイスの無効化
MFA デバイスの紛失および故障時の対応

ご不明な点は、カスタマーサービスまでお問い合わせください。

– シニアエバンジェリスト 亀田