MFA デバイスの紛失および故障時の対応 - AWS Identity and Access Management
ルートユーザー MFA デバイスの回復IAM ユーザー MFA デバイスの回復

MFA デバイスの紛失および故障時の対応

仮想 MFA デバイスまたはハードウェア TOTP トークンが正常に機能しているようでも、AWS リソースへのアクセスに使用できない場合は、AWS と同期していない可能性があります。仮想またはハードウェア MFA デバイスの同期については、「仮想デバイスとハードウェア MFA デバイスの再同期」を参照してください。FIDO セキュリティキーは同期しなくなることはありません。

AWS アカウントのルートユーザー 多要素認証 (MFA) デバイス が紛失したり、破損したり、または機能しない場合は、アカウントへのアクセスを回復できます。IAM ユーザーは、デバイスを無効にするために管理者に連絡する必要があります。

重要

MFA デバイスを紛失したりアクセスできなくなったりした場合でも、IAM ユーザー用に複数の MFA デバイスを有効にして、アカウントに引き続きアクセスできるようにすることをお勧めします。AWS アカウント ルートユーザーと IAM ユーザーには、現在サポートされている MFA タイプを任意に組み合わせた最大 8 台の MFA デバイスを登録できます。

ルートユーザー MFA デバイスの回復

AWS アカウントのルートユーザー [多要素認証 (MFA) デバイス]が紛失したり、破損したり、機能しなかったりする場合は、同じ AWS アカウントのルートユーザー に登録された別の MFA デバイスを使用してサインインできます。ルートユーザーの MFA デバイスが 1 つだけ有効になっている場合は、代替の認証方法を使用できます。つまり、MFA デバイスでサインインできない場合は、アカウントに登録されている E メールと主要連絡先の電話番号を使用してIDを確認してサインインすることができます。

代替の認証要素を使用してルートユーザーとしてサインインするには、アカウントに関連付けられている E メールと主要連絡先の電話番号にアクセスできる必要があります。主要連絡先の電話番号を更新する必要がある場合は、ルートユーザーではなく、管理者アクセス権を持つ IAM ユーザーとしてサインインすれば可能です。アカウント連絡先情報の更新に関するその他の手順については、「https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html#contact-info」を参照してください。E メールと主要連絡先の電話番号にアクセスできない場合は、AWS Support に連絡する必要があります。

重要

アカウントを正常に回復するために、ルートユーザーにリンクされている E メールアドレスと連絡先電話番号を最新の状態に保つことをお勧めします。

認証の代替要因を AWS アカウントのルートユーザー として使用してログインするには

  1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

  2. [Amazon Web Services Sign In With Authentication Device (認証デバイスによるアマゾン ウェブ サービスへのサインイン)] ページで、[認証デバイスに問題がありますか?] を選択します。[Click here] (ここをクリックしてください)。

    注記

    次のような代替テキストが表示される場合があります。MFA を使用してサインイン認証デバイスのトラブルシューティング、または MFA のトラブルシューティングですが、機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと主要連絡先の電話番号を確認できない場合は、AWS Support に連絡して、MFA デバイスを非アクティブ化するように依頼する必要があります。

  3. 必要に応じて、パスワードをもう一度入力し、[サインイン] を選択します。

  4. [Sign In Using Alternative Factors of Authentication (別の認証要素を使用したサインイン) ] セクションで、[Sign in using alternative factors (別の要素を使用したサインイン)] を選択します。

  5. E メールアドレスを確認してアカウントを認証するには、[Send verification email (確認 E メールの送信)] を選択します。

  6. AWS アカウント に関連付けられている E メールでアマゾン ウェブ サービス (no-reply-aws@amazon.com) からのメッセージを確認します。E メールの指示にしたがって操作します。

    アカウントに E メールが表示されない場合は、迷惑メールフォルダを確認するか、ブラウザに戻り、[Resend the email (E メールの再送信)] を選択します。

  7. E メールアドレスを確認した後も、アカウントの認証を続けることができます。主要連絡先の電話番号を確認するには、[Call me now] (すぐに連絡を受ける) を選択します。

  8. AWS からの呼び出しに応答し、プロンプトが表示されたら、AWS ウェブサイトの電話番号の 6 桁の番号を入力します。

    AWS からの呼び出しを受けない場合は、[サインイン] を選択してコンソールに再度サインインし、やり直してください。または、「Lost or unusable Multi-Factor Authentication (MFA) device」(多要素認証 (MFA) の紛失または使用不可) を参照して、サポートにお問い合わせください。

  9. 電話番号を確認した後、[Sign in to the console (コンソールにサインイン)] を選択してアカウントにサインインすることができます。

  10. 次の手順は、使用している MFA のタイプによって異なります。

    • 仮想 MFA デバイスの場合は、デバイスからアカウントを削除します。次に、AWS セキュリティ認証情報ページにアクセスし、古い仮想 MFA デバイスのエンティティを削除してから、新しいキーペアを作成することができます。

    • FIDO セキュリティキーの場合は、[AWS Security Credentials] ページに移動し、新しい FIDO セキュリティキーを有効にする前に古い FIDO セキュリティキーを非アクティブにします。

    • ハードウェア TOTP トークンの場合は、デバイスの修理または交換についてサードパーティープロバイダーに問い合わせてください。新しいデバイスを受け取るまで、認証の代替要因を使用してサインインを続けることができます。新しいハードウェア MFA デバイスを入手したら、AWS セキュリティ認証情報ページに移動し、新しいものを作成する前に古いハードウェア MFA デバイスエンティティを削除します。

    注記

    紛失または盗難された MFA デバイスを同じタイプのデバイスで置き換える必要はありません。例えば、FIDO セキュリティキーを破棄して新しいキーを注文すると、新しい FIDO セキュリティキーを受け取るまで、仮想 MFA またはハードウェア TOTP トークンを使用できます。

  11. MFA デバイスを紛失または盗難にあった場合は、アタッカーがその認証デバイスから現在のパスワードを入手している可能性があるため、AWS パスワードを変更してください。

IAM ユーザー MFA デバイスの回復

IAM ユーザーである場合、デバイスが紛失したり機能しなくなったりしても、自分でデバイスを回復することはできません。管理者に連絡して、デバイスを非アクティブ化するように依頼する必要があります。その後、新しいデバイスを有効にすることができます。

IAM ユーザーとしての MFA デバイスに関するヘルプ情報を入手するには

  1. お使いの IAM ユーザーのユーザー名やパスワードの設定を行った AWS システム管理者あるいは別の担当者にご連絡ください。管理者は、サインインできるように「MFA デバイスの無効化」の説明に従って、MFA デバイスを非アクティブ化する必要があります。

  2. 次の手順は、使用している MFA のタイプによって異なります。

    注記

    紛失または盗難された MFA デバイスを同じタイプのデバイスで置き換える必要はありません。任意の組み合わせの MFA デバイスを最大で 8 台用意できます。例えば、FIDO セキュリティキーを破棄して新しいキーを注文すると、新しい FIDO セキュリティキーを受け取るまで、仮想 MFA またはハードウェア TOTP トークンを使用できます。

  3. MFA デバイスを紛失または盗難にあった場合は、アタッカーがその認証デバイスから現在のパスワードを入手している可能性があるため、パスワードを変更してください。