スマホ交換したら、AWSアカウントで多要素認証(MFA)できなくなった→電話認証も失敗!

AWS

AWSアカウントのルートユーザに多要素認証(MFA)を設定している場合、サインインする時は「Eメールアドレス」と「パスワード」に加えて、「MFAコード」が必要になります。

この「MFAコード」はスマホにインストールしたアプリ(Google認証システムなど)で都度取得するものです。

スマホ破損→交換などでGoogle認証システムを再インストールした場合、Google認証システムは初期状態(なにも登録されていない)になるためMFAコードが発行できず、ルートユーザでのサインインができなくなってしまいます。

先日、まさにその状態になったので、復旧までの手順をまとめておきます。

手順

通常のサインイン同様、「ルートユーザー」を選択して、Eメールアドレスを入力 → 次へ

セキュリティチェックの文字を入力 → 次へ

ルートユーザーのパスワードを入力 → 次へ

ここで入力すべきMFAコードが取得できないため、「MFAのトラブルシューティング」をクリック

「別の要素を使用したサインイン」をクリック

「確認Eメールの送信」をクリックして、AWSアカウントに登録しているEメールアドレス宛に確認メールを送信します。

Eメールが送信されます。

受信したメールの内容がこちら。「Verify your email address」をクリックします。

ステップ2:電話番号の確認に進みました。「すぐに連絡を受ける」をクリック。

数秒経過した後、「電話の確認を完了できませんでした。」となり、先へ進めません。

私の場合は、電話番号を「090-xxxx-xxxx」で登録していたのが原因でした。
(国際電話向けに、先頭に「+81」を付与して「+8190-xxxx-xxxx」で登録するのが正解)

電話番号での認証ができない場合は、電話での本人確認が必要になります。
引き続き、「AWSサポートにお問い合わせください。」をクリックします。

MFAの解除申請フォームが開きます。

申請に必要な項目を入力します。
・Problem with authentication device
  →今回はMFAデバイスの故障交換なので「My device was lost, stolen, or damaged」を選択。
・Phone number listed on account
  →こちらは先頭に「+81」を付与せず、「090-xxxx-xxxx」を入力。※英語サポートを希望する場合は「+81」を付与する必要があるようです。
・Support langage
  →「Japanese」を選択。日本語サポートは平日09:00~18:00、英語サポートは15分以内の対応となるようです。

「Submit」をクリックして、リクエストを送信。

フォームからの申請を 2020/11/3(火祝) 10:00頃に行い、翌日(11/4) 09:30頃に サポートセンタから電話がかかってきました。(市外局番022からの着信でした)

電話でのやりとりは
 1.登録メールアドレスをお伝えする
 2.登録メールアドレス宛にワンタイムパスワードが送られてくる
 3.そのワンタイムパスワードを読み上げる
 4.本人確認完了
 5.MFAの設定解除 (メールアドレスとパスワードのみでルートユーザーでサインイン可能になる)
という感じでした。
※電話の最中にメールを確認できるようにしておく必要があります。

ワンタイムパスワードのお知らせメール(電話中に受信)

MFA解除のメール

MFA解除の手続き完了メール

無事、ルートユーザーでサインインできるようになりました。

AWSへの問い合わせは初めてだったのですが、問い合わせまでの画面導線はわかりやすく、窓口の方の対応もとても丁寧でした。

正しい電話番号を登録したら、MFA解除できるようになるのか確認してみる

MFAを新しいスマホで有効化した後、またスマホが故障した時に備えて、正しい電話番号「+8190-xxxx-xxxx」に登録しなおしてMFAの解除ができるか試してみました。

ルートユーザーのサインイン画面から、「別の認証要素を使用したサインイン」→「確認Eメールの送信」をします。

受信したメールの「Verify your email address」をクリックします。

「すぐに連絡を受ける」をクリックします。

すぐに電話がかかってきます。
(何回か試したところ、着信は「+1 206-xxx-xxxx」からだったり「非通知設定」だったりでした。)

同時に画面も切り替わります。

英語のガイダンス(自動音声)が流れます。
(私のリスニングスキルでは詳しく聞き取れませんでしたが)、かまわず画面に表示されている6桁のコードをダイヤルします。

画面が切り替わりました。(自動音声も「Success・・・」に変わった気がします)
正常に認証され、MFA設定が解除されたようです。

Eメールアドレスとパスワードのみで(MFAコードを入力せずに)、ルートユーザーでサインインできました。
(再度MFAを有効化してテスト完了)