AWSルートユーザーMFAデバイス紛失からMFA解除まで
AWSルートユーザーのMFAデバイスだったiphone6を処分して、iphone6で使っていたSIMカードは別のandroidスマホに引き継いでいました。残念ながらiphone6のMFA設定は引き継がず、新しいMFAをiphone11で使っています。AWSルートユーザーのMFAデバイスが無いのでAWSルートユーザーでAWSにログイン出来なくなりました。AWSでルートユーザーMFA解除までの道のりです。
結論、この場合、AWSサポートの電話によるAWSの中の人間と会話で「本人確認」が必要です。
紛失したMFAデバイスのiphone6のSIMカードの電話番号をAWSルートユーザーの「連絡先情報」の「電話番号」にも登録していて、紛失したMFAデバイスのSIMカードを新しいandroidに引き継いでいる場合、公式ドキュメントのMFAデバイスの紛失および故障時の対応の手順では、「Sign In Using Alternative Factors of Authentication (別の認証要素を使用したサインイン)」→「Sign in using alternative factors (別の要素を使用したサインイン)」→「Send verification email (確認 E メールの送信)」にて残念ながら新しいスマホに自動で電話認証の架電はかかってこないです。架電先の電話番号とMFAデバイスも「電話による身元確認」でAWSルートユーザーの登録時と同じものである必要がある様子。このケースでは、AWSサポートにフォーム入力して連絡し、AWSサポートからの電話を待つしかありません。そして公式ドキュメントには明示的にパターン別けして、「どのケースがAWSサポートの人間の電話を頼んで待つ必要があるのか」記載されていません。急いでいると原因がわからず、モヤッとして困ります。
AWSサポートの電話で対応してもらった女性から口頭で聞かれた事は、次の3点
- メールアドレス
- 秘密の質問に対する答え
- メールのワンタイムパスード
ワンタイムパスワードのメールは、電話の会話の最中に以下のようなものが送られてきます。
本人確認が終わり、電話も終わるとMFAのDeactivate出来たよということで以下2通のメールが届きます。
24時間365日インターネット上だけでAWSルートユーザーのMFA解除を出来るのはおそらく次のケース
AWSルートユーザーで『MFAデバイスA』と『「連絡先情報」の「電話番号」のデバイスB』で異なるデバイス、かつ、紛失は『MFAデバイスA』のみで『「連絡先情報」の「電話番号」のデバイスB』は手元に存在していて使えるという場合、「Sign In Using Alternative Factors of Authentication (別の認証要素を使用したサインイン)」→「Sign in using alternative factors (別の要素を使用したサインイン)」→「Send verification email (確認 E メールの送信)」にて無事にMFA解除がおそらく出来ると思います。間違っていたらすみません。コメントで教えていただけますと助かります。
おそらく、自動の「電話による身元確認」が出来るため、AWSサポートヘの問い合わせ無しでMFAデバイス解除出来ます。
また、「連絡先情報」の「電話番号」は、「090」で始まっていても「+81」で始まっていても、0抜きの「90」で始まっていても大丈夫らしいです。これはAWSサポートの女性に聞いてみました。
さらに、「お支払い方法」のクレジットカードの期限が切れていたりしても、自動の「電話による身元確認」は出来ないようです。
ちなみにMFAの再設定は、マイセキュリティ資格情報の多要素認証(MFA)で行います。
AWSルートユーザーMFAデバイス解除のAWSサポートの対応速度について
平日の水曜日のAM11時ころ、AWSサポートヘ入力フォームから問い合わせを行って10分以内くらいに電話をもらってめちゃくちゃ早くAWSルートユーザーのMFAデバイスの解除できました。早くて超助かります。
