AWS Identity and Access Management
ユーザーガイド

MFA デバイスの紛失および故障時の対応

お客様の AWS アカウントのルートユーザー 多要素認証 (MFA) デバイスが紛失、損傷した場合、または動作しない場合でも、認証の代替方法を使用してサインインすることができます。つまり、MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと電話を使用してアイデンティティを確認してサインインすることができます。

なお、仮想 MFA デバイスまたはハードウェア MFA デバイスが正常に機能しているようでも、AWS リソースにアクセスに使用できない場合は、AWS と同期していない可能性があります。仮想またはハードウェア MFA デバイスの同期については、「仮想デバイスとハードウェア MFA デバイスの再同期」を参照してください。U2F セキュリティキーは同期しなくなることはありません。

IAM ユーザーに関連付けられている MFA デバイスが紛失した場合や動作しなくなった場合、ユーザーがそのデバイスを回復することはできません。IAM ユーザーは、デバイスを無効にするために管理者に連絡する必要があります。

認証の代替要因を使用して ルートユーザー としてログインする前に、アカウントに関連付けられている E メールと電話番号にアクセスできることを確認してください。

認証の代替要因を AWS アカウントのルートユーザー として使用してログインするには

  1. AWS アカウントの E メールアドレスとパスワードを使用し、AWS アカウントのルートユーザー として AWS マネジメントコンソール にサインインします。

  2. [Amazon Web Services Sign In Using MFA (MFA によるアマゾン ウェブ サービスへのサインイン)] ページで、[認証デバイスに問題がありますか? ここをクリックしてください] を選択します。

    注記

    2017 年 9 月 14 日より後に作成された AWS アカウントを使用している場合は、コンソールに「Sign in with authentication device (認証デバイスでサインイン)」および「Troubleshoot your authentication device (認証デバイスをトラブルシューティング)」というテキストが表示されることがあります。ただし、提供されている機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、MFA 設定の非アクティブ化について AWS サポートにお問い合わせください。

  3. 必要に応じて、パスワードをもう一度入力し、[サインイン] を選択します。

  4. [Sign In Using Alternative Factors of Authentication (別の認証要素を使用したサインイン) ] セクションで、[Sign in using alternative factors (別の要素を使用したサインイン)] を選択します。

  5. E メールアドレスを確認してアカウントを認証するには、[Send verification email (確認 E メールの送信)] を選択します。

  6. AWS アカウントに関連付けられている E メールで Amazon Web Services (no-reply-aws@amazon.com) からのメッセージを確認します。E メールの指示にしたがって操作します。

    アカウントに E メールが表示されない場合は、迷惑メールフォルダを確認するか、ブラウザに戻り、[Resend the email (E メールの再送信)] を選択します。

  7. E メールアドレスを確認した後も、アカウントの認証を続けることができます。電話番号を確認するには、[Call me now (すぐに連絡を受ける)] を選択します。

  8. AWS からの呼び出しに応答し、プロンプトが表示されたら、AWS ウェブサイトの電話番号の 6 桁の番号を入力します。

    AWS からの呼び出しを受けない場合は、[サインイン] を選択してコンソールに再度サインインし、やり直してください。または、[AWS サポート] を選択してサポートに連絡してください。

  9. 電話番号を確認した後、[Sign in to the console (コンソールにサインイン)] を選択してアカウントにサインインすることができます。

  10. 次の手順は、使用している MFA のタイプによって異なります。

    • 仮想 MFA デバイスの場合は、デバイスからアカウントを削除します。次に、AWS セキュリティ認証情報ページにアクセスし、古い仮想 MFA デバイスのエンティティを削除してから、新しいキーペアを作成することができます。

    • U2F セキュリティキーの場合は、AWS セキュリティ認証情報ページに移動し、新しい U2F キーを有効にする前に古い U2F キーを無効にします。

    • ハードウェア MFA デバイスの場合は、デバイスの修理または交換についてサードパーティープロバイダーに問い合わせてください。新しいデバイスを受け取るまで、認証の代替要因を使用してサインインを続けることができます。新しいハードウェア MFA デバイスを入手したら、AWS セキュリティ認証情報ページに移動し、新しいものを作成する前に古いハードウェア MFA デバイスエンティティを削除します。

    注記

    紛失または盗難された MFA デバイスを同じタイプのデバイスで置き換える必要はありません。たとえば、U2F セキュリティキーを破棄して新しいキーを注文すると、新しい U2F セキュリティキーを受け取るまで、仮想またはハードウェア MFA デバイスを使用できます。

  11. MFA デバイスを紛失または盗難にあった場合は、アタッカーがその認証デバイスから現在のパスワードを入手している可能性があるため、AWS パスワードを変更してください。

IAM ユーザーとしての MFA デバイスに関するヘルプ情報を入手するには

  1. お使いの IAM ユーザーのユーザー名やパスワードの設定を行った AWS システム管理者あるいは別の担当者にご連絡ください。管理者は、サインインできるように「MFA デバイスの無効化」の説明に従って、MFA デバイスを非アクティブ化する必要があります。

  2. 次の手順は、使用している MFA のタイプによって異なります。

    • 仮想 MFA デバイスの場合は、デバイスからアカウントを削除します。次に、「仮想多要素認証 (MFA) デバイスの有効化 (コンソール)」の説明に従って、仮想デバイスを有効にします。

    • U2F セキュリティキーの場合は、デバイスの修理または交換についてサードパーティープロバイダーに問い合わせてください。新しい U2F セキュリティキーを受け取ったら、「U2F セキュリティキーの有効化 (コンソール)」で説明されているとおりに有効にします。

    • ハードウェア MFA デバイスの場合は、デバイスの修理または交換についてサードパーティープロバイダーに問い合わせてください。新しい物理 MFA デバイスを入手したら、「ハードウェア MFA デバイスの有効化 (Console)」の説明に従ってデバイスを有効にします。

    注記

    紛失または盗難された MFA デバイスを同じタイプのデバイスで置き換える必要はありません。たとえば、U2F セキュリティキーを破棄して新しいキーを注文すると、新しい U2F セキュリティキーを受け取るまで、仮想またはハードウェア MFA デバイスを使用できます。

  3. MFA デバイスを紛失または盗難にあった場合は、アタッカーがその認証デバイスから現在のパスワードを入手している可能性があるため、パスワードを変更してください。