AWSの仮想MFAデバイス紛失時にとるべき行動

背景

普段から遊んでいる個人アカウント(名義も支払いも自分自身)のrootにMFAを設定していた。
MFAは、物理デバイスではなく、iPhoneのGoogleAuthenticatorアプリを使用。
そのiPhoneを初期化し売却、中古のiPhone5Sを買ったのが先日だった。
GoogleEvernote, DropboxなどはSMS経由での二段階認証リセットができることは知っていて、「AWSもそれくらいできるだろー」と決めつけて事を進めたのが間違いだった。
あると思っていた再設定オプションは見つからず、閉めだされた。

前提

  • rootアカウントの名義は本名フルネーム
  • rootアカウントに設定したメールアドレスにはアクセス可能
  • Account SettingsのContact Informationに登録した電話番号(携帯)を利用可能
  • rootユーザにMFAを設定(Google Authenticator)していたが、これを紛失

対処

以下の手順でAWS Management Consoleに復帰した。

AWSに登録したメールアドレスとパスワードでConsoleにログイン

f:id:saisa6153:20141026191756p:plain

この画面までは、二段階認証ができなくても普通に入れる。 問題は次。

カスタマーサービス要請画面に行く

f:id:saisa6153:20141026192151p:plain

この画面から先は、二段階認証が無いと入れない。
しかし、現在はそれに必要な仮想MFAデバイスが無い。
ここで、サインインの下にある「Having problems with your authentication device? Click here」をクリックすると、以下の画面に遷移する。

f:id:saisa6153:20141026192543p:plain

右側の「Contact Customer Service」にあるオレンジ色の「Contact Us」をクリックする。

カスタマーサービスを要請する

ここまで来ると、以下の画面になっているはず。

f:id:saisa6153:20141026192839p:plain

URLは https://aws.amazon.com/forms/aws-mfa-support
(というか経緯を説明しなくても、最初からURL貼ればよかったのか...)

ここに必要事項を記入してSubmitする。内容は以下の通り。

  • Problem with Authentication Device*
    • 問題の概要を選択する
    • 今回は一番上の、「My device was lost, stolen or damaged」を選択
  • Primary Phone Number*
    • AWSサポートを受ける電話番号
    • ここに記載した電話番号に、後述するサポートの電話がかかってくる
    • 国内の電話番号が「080-1234-5678」である場合は「+818012345678」と記入
  • Country associated with your phone number*
    • 上述の電話番号が国内のものであれば、日本を選択

submitすると、「要請を受け付けたよ!」みたいな画面が表示されるので一旦終わり。

ちなみに、間違った電話番号を入力した場合、以下の様なメールが届く。

Hello,

My name is ◯◯ from AWS billing support, I will gladly assist you today.
I'm following up in response to your request for assistance with AWS Multi-Factor Authentication (MFA). You indicated that you were unable to log in using your MFA device. I've tried to reach you at the phone numbers you provided in your support request. Unfortunately, I was not able to reach you, but I left a voice mail.

If you still need assistance with your MFA device, please resubmit a request from the same form when you are ready to receive a support call and we'll call you within 15 minutes.

https://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/aws-token-s...

We look forward to hearing back from you soon.

復旧オペレーション開始

申請内容が正しければ、10分後くらいに120から始まる番号から着信がある。
電話を取ると、AWSに登録した本人であるか名前を確認され、「MFA紛失に関するアカウント復旧を開始するのでよろしく!」みたいな説明がある。
「あい きゃんと すぴーく いんぐりっしゅ うぇる」とか伝えてみたけど、あまり手加減されなかった。英会話できるようになりたい。

その後、「今からメール送るから!」と説明の後、確認メールが送信される。内容は以下のとおり。

Hello,

For security purposes, please provide the following code to me over the phone:

A B C D 1

I look forward to helping you soon.

Best regards,

この「A B C D 1」を口頭で伝えると、二段階認証を解除してくれる。
あとはConsoleに入ってIAMからMFAを再設定すれば完了。

まとめ

「個人のしかも遊び程度のアカウントでMFA設定とかやり過ぎじゃね?」という感じはするが、クレカ直結のAWSはセキュリティを万全にしておきたいところ。
あと、仕事とは関係ないところで失敗することができて本当に良かった。