TOP>コラム一覧>rootユーザのMFAが壊れた時のログイン方法

rootユーザのMFAが壊れた時のログイン方法

はじめに

こんにちは、高橋です。
今回は直近で私が困って、色々調べたけど問題が解決しない中、タイムリーな新機能の登場によって問題が解消した、rootユーザのMFAが壊れた時のrootユーザでのログイン方法について、ご紹介したいと思います。

1.MFAが壊れた時のrootでのログイン方法

皆さんrootアカウントはMFAを設定して、アカウントを保護していますか?CTCでは全てのアカウントのrootユーザに対してMFAを設定してアカウントを保護しています。しかしながら、物理のMFAデバイスを使用している場合、MFAデバイスが壊れてしまうことは間々あります。そういった場合、下記の手順でMFAを使用せずにアカウントにログインすることができます。

① AWSコンソールにてrootユーザのメールアドレスとパスワードを入力し、下記の画面で「MFAのトラブルシューティング」をクリックします。

MFAが壊れた時のrootでのログイン方法

② 「別の要素を使用したサインイン」をクリックします。

「別の要素を使用したサインイン」をクリックします。

③ 「確認Eメールの送信」をクリックします。

「確認Eメールの送信」をクリックします。

④ Rootアカウントのメールアドレスに確認用のメールが送信されますので、メールを受け取ったら、メール内のリンクをクリックしてください。そうすると下記の画面が表示されます。

Rootアカウントのメールアドレスに確認用のメールが送信されますので、メールを受け取ったら、メール内のリンクをクリックしてください。そうすると下記の画面が表示されます。

⑤ 「すぐに連絡を受ける」をクリックするとアカウントの連絡先に設定されている電話番号に電話がかかってきます。なお、この電話番号は「+811234567890」の様に+81の後にハイフンなしで電話番号を設定しておく必要があります。

「すぐに連絡を受ける」をクリックするとアカウントの連絡先に設定されている電話番号に電話がかかってきます。なお、この電話番号は「+811234567890」の様に+81の後にハイフンなしで電話番号を設定しておく必要があります。

⑥ 電話がかかってきたら、画面に表示されたピン番号を入力して認証を行います。

電話がかかってきたら、画面に表示されたピン番号を入力して認証を行います。

⑦ 認証が通ると下記の画面が表示されるので、「コンソールにサインイン」をクリックして、AWSコンソールにログインします。

認証が通ると下記の画面が表示されるので、「コンソールにサインイン」をクリックして、AWSコンソールにログインします。

⑧ ログイン後はMFAが使えなくなっているので、MFAを解除しておきましょう。

ポイントは連絡先情報にハイフン(-)なしで正しく電話番号を設定しておくことで、これが2つ目の小さなはまりポイントでした。もし、設定した電話番号が利用できない、またはどの電話番号か分からない場合は、IAMユーザでAWSコンソールにログインして電話番号を確認/変更してください。

2.IAMで連絡先情報が変更できない場合の対処方法

上記の内容だけであれば、問題なくMFAが壊れてもrootユーザでログインすることができます。しかしながら下記の様にアカウント設定の中で「IAM ユーザー/ロールによる請求情報へのアクセス」を無効化していた場合、全てのIAMユーザはAWSコンソールのアカウント設定にアクセスすることができなくなるため、例えAdministratorAccess権限を保有するIAMユーザでも電話番号の確認/変更ができなくなってしまい、どうにも対処ができなくなってしまいます。

IAMで連絡先情報が変更できない場合の対処方法

これが最初にして最大のハマりポイントとなってしまい、実際この状態になった場合の、対処方法はいくら探してもなく、問題を解決できませんでした。しかしながら、そこにタイミングよく7/25にAWS CLIから連絡先方法を直接変更する方法がリリースされたため、問題を解決できました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/07/programmatically-manage-primary-contact-information-aws-accounts/

この方法を利用するためには、現時点(2022年7月末)ではAWS CLIのv1を利用する必要があり、v2では対応していないので注意が必要です。 実際の変更するコマンドの書式は以下の様になります。


            $ aws-v1 account put-contact-information --contact-information \
            '{
                "AddressLine1": "住所",
                "City": "市区町村",
                "StateOrRegion": "都道府県",
                "CountryCode": "JP",
                "FullName": "名前",
                "PhoneNumber": "電話番号",
                "PostalCode": "郵便番号",
                "CompanyName": "会社名"
            }'
        


            [ec2-user@ip-192-168-0-21 ~]$ aws-v1 account put-contact-information --contact-information \
            > '{
            >     "AddressLine1": "4-1-1, Toranomon Kamiyacho Trust Tower",
            >     "City": "Minato-ku",
            >     "StateOrRegion": "Tokyo",
            >     "CountryCode": "JP",
            >     "FullName": "hoge",
            >     "PhoneNumber": "+81364036000",
            >     "PostalCode": "105-6950",
            >     "CompanyName": "ITOCHU Techno-Solutions Corporation"
            > }'
            [ec2-user@ip-192-168-0-21 ~]$
            [ec2-user@ip-192-168-0-21 ~]$
            [ec2-user@ip-192-168-0-21 ~]$
            [ec2-user@ip-192-168-0-21 ~]$ aws-v1 account get-contact-information
            {
                "ContactInformation": {
                    "AddressLine1": "4-1-1, Toranomon Kamiyacho Trust Tower",
                    "City": "Minato-ku",
                    "CompanyName": "ITOCHU Techno-Solutions Corporation",
                    "CountryCode": "JP",
                    "FullName": " hoge",
                    "PhoneNumber": "+81364036000",
                    "PostalCode": "105-6950",
                    "StateOrRegion": "Tokyo"
                }
            }
        

実行結果

コンソールの設定情報

Amazon Textractの使用方法

これは「IAM ユーザー/ロールによる請求情報へのアクセス」が無効に設定されていても実行可能ですので、もし、MFAデバイスが故障し、連絡先情報に電話番号を使用できず、かつIAMでコンソールから電話番号が変更できなくなった場合はこちらの方法を実行してください。

おわりに

CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。

お問い合わせ

【著者プロフィール】

高橋 繁義(たかはし しげよし)

伊藤忠テクノソリューションズ株式会社 クラウドアーキテクト

インフラ全般のエンジニアとして20年以上活動し、現在AWS専任の技術担当兼サービス企画担当として活動中

高橋 繁義(たかはし しげよし)

TOP>コラム一覧>rootユーザのMFAが壊れた時のログイン方法

pagetop