MFAデバイス紛失時のデバイスリセットが、Webコンソールのみで可能になりました
みなさん、AWSルートアカウントにMFA(Multi-Factor Authentication)は設定されていますでしょうか。AWSのルートアカウントは、本当になんでもできてしまうアカウントなので、MFAによるアカウント保護は必須です。
以下の公式ドキュメントでも、推奨されています。
IAM のベストプラクティス - AWS Identity and Access Management
ただ、そんな便利で安心なMFAですが、MFAに利用するデバイスがいきなり利用できなくなることも、往々にしてあるもんです。スマフォを無くしてしまったり、もしくは、水没させて動かなくなったり・・・
そんなとき、これまでは、AWSのサポートページから問い合わせしたのち、英語の電話に対応(日本語も大丈夫らしい)する必要があったり、若干敷居が高かったのですが、それがWebコンソールのみでできるようになりました。
アップデート公式ドキュメント:Reset Your AWS Root Account’s Lost MFA Device Faster by Using the AWS Management Console | AWS Security Blog
最初に、MFAとは
MFAに馴染みのない方向けに簡単に説明すると、MFAとは、あらかじめデバイスを登録しておくことで、ログイン時にIDとパスワードの認証に加えて、デバイスのワンタイムパスワードを入力させる方法です。
IDとパスワードだけの認証に加えて、よりセキュリティが強固になります。
デバイスには、自分が使っているスマフォも利用できます。こんな感じで、ワンタイムパスワードが表示されるので、それを入力することで、ログインします。
公式ドキュメント:多要素認証(MFA)仮想デバイスの有効化 - AWS Identity and Access Management
今回は、このデバイスを何らかの理由で紛失した場合に、Webコンソールから、このデバイス登録情報を削除する方法を解説します。
MFAデバイス無しでのログインをやってみた
Webコンソールにログインするまで
ルートユーザーでサインインします。
MFA設定済みなので、認証コードを求められる画面が表示されます。ここで、デバイスになんらかのトラブルがあったと想定して、「認証デバイスに問題が有りますか?ここをクリック」をクリックします。
「Troubleshoot You're Authentication Device」画面が表示されます。ここでは、右上の「Sign in using alternatie factors」をクリック。
「別の認証要素を使用したサインイン」画面が表示されます。メールアドレスを確認して「確認 Eメールの送信」をクリックします。
そうすると、Eメール確認のためのメールが送信されてくるので、送信された文中のリンクをクリックします。
「電話番号の確認」画面が表示されます。「すぐに連絡を受ける」をクリックすると、登録電話番号あてに電話がかかってきます。電話がかかってくるのですが、英語の定型メッセージなので、特に焦る必要もありません。
その時、画面に表示されている、6桁の番号を電話のダイヤルキーで入力します。
そうすると、無事、アカウントにサインインできるようになります。
ここまでの手順をへて、MFAデバイスを利用せずに懐かしのWebコンソールにアクセスできました!
ログイン後、MFA情報を削除
この段階では、まだMFAデバイスの情報は、古いままで残っています。スマフォを紛失している場合、以前のMFAではログインできないため、このタイミングで登録済みのMFA情報を削除しておきましょう。
削除後、改めて、MFAを新規設定し、対応完了となります。
やってみたこと(まとめ)
以上、Webコンソールの手続きだけで、MFAデバイスなしにログインできることがおわかりになったかと思います。
- ルートアカウントのIDとパスワードでログイン
- 認証デバイスに問題があるを選択後、他の要素でログイン
- メールアドレスの確認
- 電話番号の確認
- Webコンソールにログイン後、旧MFA情報の削除と、新MFAの登録
ただ、これを使うのは、あくまで最終手段。MFAデバイスの管理は慎重にしておき、いつでも安全かつ確実にAWSルートアカウントにログインできるようにしておきましょう。
また、AWSルートアカウントは通常の作業では利用せず、普段はIAMアカウントを利用するようにしましょう。
こちらの記事も参考にしてみてください。
おすすめの2段階認証アプリ
最後におまけです。
仮想MFAでは、2段階認証アプリとしてGoogleAuthenticatorを利用されている方も多いと思いますが、Authyのほうがなにかと便利なので、そちらの利用をオススメします。
主な利点は、以下です。
- MFAバックアップが取得できる(他の端末と同期できる)
- Chromeの拡張機能がある
他の端末との同期が非常に便利。GoogleAuthenticatorは、MFAデバイス登録時の最初のQRコードを、複数端末で同時に登録するか、そのQRコードを保存(厳重な管理が必要)する必要があるのですが、Authyを利用すれば、後から追加した端末にもMFA情報を同期できたりします。
参考:Authy vs. Google Authenticator – Authy
1Passwordを利用したワンタイムパスワード入力
パスワード管理アプリケーションとして、ほぼデファクトスタンダードと言っても差し支えない、1Passwordでも、ワンタイムパスワード入力が可能です。利用デバイスを増やしたり、スマフォを利用したくない方で、普段から1Passwordを利用されているかたは、是非こちらの方法もご検討ください。
それでは、今日はこのへんで。濱田でした。
![[アップデート]待望!管理アカウントでメンバーアカウントのルートユーザ操作禁止などが設定できるRoot access managementがリリースされました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-2eddd7f989fa67416ea2d27b4223cc32/8f5b157eb82ee11cc288225119e0c290/aws-organizations)
![[Auth0] Auth0でパスワードレスやパスキー、MFAなど認証周りの機能を実装してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e37cf03c5caac969de0f633e4738977d/1862834d1806cb03b64a8000a5a1a39e/Auth0ByOkta.jpg)
