MFA端末を紛失して2要素認証ができない場合、AWSに問い合わせる方法


無料会員中に作成したEC2インスタンスが起動中だった

無料会員中にCloud9を利用していたが、そのままEC2インスタンスを立ち上げたまま放置していた。

最低スペックのインスタンスが4つ立ち上がっていて、毎月7ドル強課金され続けていた。

MFA端末が手もとにない場合のAWSへの問い合わせ方法

今回は一番面倒であろう、電話番号が有効でなかった場合だったのでそちらを例にしている。

まず、MFA設定中のアカウントでログインする。

ルートユーザーでログインを試みた際の画面を表示している。

メールアドレスとパスワードを入力すると、以下のような画面になるがMFAコードが発行できないので以下の「MFAのトラブルシューティング」をクリックする。

次に以下のような画面が表示されるので「別の要素を使用したサインイン」をクリックする。

ここで別の要素で認証する場合、3ステップあることが確認できる。

  • メールアドレス
  • 電話番号
  • サインイン

まずは登録しているメールアドレス宛てにメールを送信する。

以下のようなメールを受信するので以下のリンクをクリックする。

次に電話番号での認証に移る。

「すぐに連絡を受ける」をクリックする。

そのまますんなり電話番号が認証できればいいが、できない場合は以下のように「AWSサポートへお問い合わせください。」をクリックする。

その後、入力フォームに移るので該当する項目を選択・入力し、「Submit」をクリック。

ちなみに以下の意味はそれぞれ上から、

  • MFA端末が紛失したり、盗まれたり、壊れたりした場合(つまり利用不可の場合)
  • MFA端末が表示されなかったり、エラー表示になって適切に利用できない場合
  • MFA端末は動作しているが、サインインもしくは再接続ができない場合
  • MFA端末は正しく動作しているが、MFA認証コードが登録できない場合
  • 上記以外の場合

となっている。

最後の項目(対応言語)を「日本語」にすると、日本語で対応できるスタッフとの通話になるが以下のように英語だと15分程度とのことなので今回は英語対応スタッフに対応いただくことにした。

すると英語対応スタッフから10分くらいでフォームに入力した電話番号に非通知(事前に着信を許可する必要あり)で電話がかかってきて以下の質問を聞かれた。

  • 状況確認
  • メールアドレス確認
  • 通話中にメールで送られたOTP確認
  • アカウント名確認

状況に関しては "I couldn't log in AWS with MFA code." のようなことを言っただけで問題なかった。

OTPは以下のメールに記載されている8桁の英数字のコードを伝える。

アカウント名は以下で設定しているものを回答する。管理画面が確認できない場合(というより大抵の場合はそうだが)、先ほど送られたメールに記載の自分の宛名(Hi, xxxxxx)の部分が自分の場合はアカウント名と同じだったので事なきを得たが、もし異なっていた場合はChromeの保存パスワードにあるかどうか確認したり(IAMユーザの場合、入力項目が3つなので無理かも?)、どうしてもない場合は別の手段で認証チェックすることになるかもしれない。

まとめ

15分以内で電話が来るサポート体制は素直にすごいと思った。

これでまたAWSの学習を頑張れそう。