MFA デバイスの紛失および故障時の対応

仮想 MFA デバイスまたはハードウェア TOTP トークンが正常に機能しているようでも、AWS リソースへのアクセスに使用できない場合は、AWS と同期していない可能性があります。仮想またはハードウェア MFA デバイスの同期については、「仮想デバイスとハードウェア MFA デバイスの再同期」を参照してください。FIDO セキュリティキーは同期しなくなることはありません。

AWS アカウントのルートユーザー 多要素認証 (MFA) デバイス が紛失したり、破損したり、または機能しない場合は、アカウントへのアクセスを回復できます。IAM ユーザーは、デバイスを無効にするために管理者に連絡する必要があります。

重要

MFA デバイスを紛失したりアクセスできなくなったりした場合でも、IAM ユーザー用に複数の MFA デバイスを有効にして、アカウントに引き続きアクセスできるようにすることをお勧めします。AWS アカウント ルートユーザーと IAM ユーザーには、現在サポートされている MFA タイプを任意に組み合わせた最大 8 台の MFA デバイスを登録できます。

ルートユーザー MFA デバイスの回復

AWS アカウントのルートユーザー [多要素認証 (MFA) デバイス]が紛失したり、破損したり、機能しなかったりする場合は、同じ AWS アカウントのルートユーザー に登録された別の MFA デバイスを使用してサインインできます。ルートユーザーの MFA デバイスが 1 つだけ有効になっている場合は、代替の認証方法を使用できます。つまり、MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと主要連絡先の電話番号を使用してIDを確認してサインインすることができます。

代替の認証要素を使用してルートユーザーとしてサインインするには、アカウントに関連付けられている E メールと主要連絡先の電話番号にアクセスできる必要があります。主要連絡先の電話番号を更新する必要がある場合は、ルートユーザーではなく、管理者アクセス権を持つ IAM ユーザーとしてサインインすれば可能です。アカウント連絡先情報の更新に関するその他の手順については、AWS Billing ユーザーガイドの「連絡先情報の編集」を参照してください。E メールと主要連絡先の電話番号にアクセスできない場合は、AWS Support に連絡する必要があります。

重要

アカウントを正常に回復するために、ルートユーザーにリンクされている E メールアドレスと連絡先電話番号を最新の状態に保つことをお勧めします。詳細については、「AWS Account Managementリファレンスガイド」の「AWS アカウントの主要連絡先の更新」を参照してください。

認証の代替要因を AWS アカウントのルートユーザー として使用してログインするには

1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

2. 「追加の検証が必要」ページで、認証に使用する MFA メソッドを選択し、[次へ] を選択します。

   注記

   次のような代替テキストが表示される場合があります。MFA を使用してサインイン、認証デバイスのトラブルシューティング、または MFA のトラブルシューティングですが、機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと主要連絡先の電話番号を確認できない場合は、AWS Support に連絡して、MFA デバイスを非アクティブ化するように依頼する必要があります。

3. 使用している MFA の種類に応じて表示されるページは異なりますが、[MFA のトラブルシューティング] オプションの機能は同じです。[追加の検証が必要] ページまたは「[多要素認証] ページで、[MFA のトラブルシューティング] を選択します。

4. 必要に応じて、パスワードをもう一度入力し、[サインイン] を選択します。

5. [認証デバイスのトラブルシューティング] ページの [別の認証要素を使用してサインイン] セクションで [別の要素を使用してサインイン] を選択します。

6. 「別の認証要素を使用してサインイン」ページで、E メールアドレスの確認を行ってアカウントを認証します。[確認 E メールを送信] を選択します。

7. AWS アカウント に関連付けられているメールで、Amazon ウェブサービス (recover-mfa-no-reply@verify.signin.aws) からのメッセージを確認します。E メールの指示にしたがって操作します。

   アカウントに E メールが表示されない場合は、迷惑メールフォルダを確認するか、ブラウザに戻り、[Resend the email (E メールの再送信)] を選択します。

8. E メールアドレスを確認した後も、アカウントの認証を続けることができます。主要連絡先の電話番号を確認するには、[Call me now] (すぐに連絡を受ける) を選択します。

9. AWS からの呼び出しに応答し、プロンプトが表示されたら、AWS ウェブサイトの電話番号の 6 桁の番号を入力します。

   AWS からの呼び出しを受けない場合は、[サインイン] を選択してコンソールに再度サインインし、やり直してください。または、「Lost or unusable Multi-Factor Authentication (MFA) device」(多要素認証 (MFA) の紛失または使用不可) を参照して、サポートにお問い合わせください。

10. 電話番号を確認した後、[Sign in to the console (コンソールにサインイン)] を選択してアカウントにサインインすることができます。

11. 次の手順は、使用している MFA のタイプによって異なります。

    • 仮想 MFA デバイスの場合は、デバイスからアカウントを削除します。次に、AWS セキュリティ認証情報ページにアクセスし、古い仮想 MFA デバイスのエンティティを削除してから、新しいキーペアを作成することができます。

    • FIDO セキュリティキーの場合は、[AWS Security Credentials] ページに移動し、新しい FIDO セキュリティキーを有効にする前に古い FIDO セキュリティキーを非アクティブにします。

    • ハードウェア TOTP トークンの場合は、デバイスの修理または交換についてサードパーティープロバイダーに問い合わせてください。新しいデバイスを受け取るまで、認証の代替要因を使用してサインインを続けることができます。新しいハードウェア MFA デバイスを入手したら、AWS セキュリティ認証情報ページに移動し、新しいものを作成する前に古いハードウェア MFA デバイスエンティティを削除します。

    注記

    紛失または盗難された MFA デバイスを同じタイプのデバイスで置き換える必要はありません。例えば、FIDO セキュリティキーを破棄して新しいキーを注文すると、新しい FIDO セキュリティキーを受け取るまで、仮想 MFA またはハードウェア TOTP トークンを使用できます。

重要

MFA デバイスを紛失したか、盗難に遭った場合は、別の認証要素を使用してサインインし、代替の MFA デバイスを確立した後、攻撃者が認証デバイスを盗み、現在のパスワードも持っている可能性がある場合に備えて、root ユーザーのパスワードを変更してください。詳細については、「AWS Account Management リファレンスガイド」の「AWS アカウントのルートユーザー のパスワードを変更する」を参照してください。

IAM ユーザー MFA デバイスの回復

IAM ユーザーである場合、デバイスが紛失したり機能しなくなったりしても、自分でデバイスを回復することはできません。管理者に連絡して、デバイスを非アクティブ化するように依頼する必要があります。その後、新しいデバイスを有効にすることができます。

IAM ユーザーとしての MFA デバイスに関するヘルプ情報を入手するには

1. お使いの IAM ユーザーのユーザー名やパスワードの設定を行った AWS システム管理者あるいは別の担当者にご連絡ください。管理者は､サインインできるように「MFA デバイスの無効化」の説明に従って、MFA デバイスを非アクティブ化する必要があります。

2. 次の手順は、使用している MFA のタイプによって異なります。

   • 仮想 MFA デバイスの場合は、デバイスからアカウントを削除します。次に、「仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)」の説明に従って､仮想デバイスを有効にします。

   • FIDO セキュリティキーの場合は、デバイスの交換についてサードパーティープロバイダーに問い合わせてください。新しい FIDO セキュリティキーを受け取ったら、「FIDO セキュリティキーの有効化 (コンソール)」で説明されているとおりに有効にします。

   • ハードウェア TOTP トークンの場合は、デバイスの修理または交換についてサードパーティープロバイダーに問い合わせてください。新しい物理 MFA デバイスを入手したら、「ハードウェア TOTP トークンの有効化 (コンソール)」の説明に従ってデバイスを有効にします。

   注記

   紛失または盗難された MFA デバイスを同じタイプのデバイスで置き換える必要はありません。任意の組み合わせの MFA デバイスを最大で 8 台用意できます。例えば、FIDO セキュリティキーを破棄して新しいキーを注文すると、新しい FIDO セキュリティキーを受け取るまで、仮想 MFA またはハードウェア TOTP トークンを使用できます。

3. MFA デバイスを紛失または盗難にあった場合は、アタッカーがその認証デバイスから現在のパスワードを入手している可能性があるため、パスワードを変更してください。詳細については、IAM ユーザーのパスワードの管理 を参照してください。