Slide 1
Slide 1 text
MFAデバイスを無くした時の対応方法
2021/12/27
JAWS-UG 初心者支部#40 年忘れLT大会!!
Slide 2
Slide 2 text
自己紹介
名前 :藤田 直幸
Twitter/Qiita/Zenn:@amarelo_n24 コーヒー焙煎人兼エンジニア
Facebook:https://www.facebook.com/naoyuki.fujita.37
Hatena :https://amarelo24.hatenablog.com/
取得済AWS認定 :CLF、SAA、DVA
今後の受験予定 :SOA、SCS
好きなAWSサービス:AWS CLI、AWS CloudShell、Cloud9
Slide 3
Slide 3 text
先日、ルートアカウントのMFAデバイスを
無くしてログインできなくなりそうになって
困ったことと解決方法をお話します!!
Slide 4
Slide 4 text
1.AWSでの多要素認証(MFA)の使用について
2.ルートアカウントでMFAできなくなった話
3.ルートアカウントMFAデバイス再設定
4.つまずきポイント
5.まとめ
話すこと
Slide 5
Slide 5 text
1.AWSでの多要素認証(MFA)の使用について
Slide 6
Slide 6 text
認証の3要素である「知識情報」「所持情報」「生体情報」の
うち、2つ以上を組み合わせて認証すること。
(例)
知識情報:パスワード、PINコード、秘密の質問
所持情報:携帯電話、ハードウェアトークン、ICカード
生体情報:指紋、静脈、声紋
※参考
https://www.nri-secure.co.jp/blog/multi-factor-authentication
多要素認証(MFA)とは?
Slide 7
Slide 7 text
セキュリティを向上させるには、MFAを設定してAWSリソース
を保護することが推奨されています。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credential
s_mfa.html
AWSでの多要素認証(MFA)
Slide 8
Slide 8 text
①仮想MFAデバイス(Google Authenticatorなど)
②U2Fセキュリティキー
③ハードウェアMFAデバイス
主に①を使って設定する方が多い?
MFAデバイスに設定できるもの
Slide 9
Slide 9 text
・パスワードクラックによる不正ログイン
・不正なAWSリソースの使用
全アカウントにMFAを設定しましょう!
ルートアカウントのMFA設定は必須!!
MFAを設定しないと起こりうるリスク
Slide 10
Slide 10 text
2.ルートアカウントでMFAできなくなった話
Slide 11
Slide 11 text
先日、ルートアカウントでログインしようとしたところ、
Google Authenticator にルートアカウントの認証コードが
表示されていないことが分かりました。
Slide 12
Slide 12 text
・すべてのアカウント(ルートアカウント、IAMユーザ)には
MFAを設定済。
・ルートアカウントのMFAのみ表示されていない。。。
・IAMユーザのMFA認証コードはGoogle Authenticator
アプリに表示されている。
当時の状況整理
Slide 13
Slide 13 text
普段はIAMユーザを使ってログインしており、
ルートアカウントには1年近くログインしていない。
何もしていないのに。。。
Slide 14
Slide 14 text
なぜだ!?
Slide 15
Slide 15 text
1年前にiPhone7をiPhone12に機種変していた!
・iPhone7の時にルートアカウントのMFAを設定していた。
・iPhone12への機種変の際に、MFAデバイス再設定をせずに、
iPhone7を処分してしまった!(もちろん初期化済)
※他のIAMユーザのMFAデバイス登録は、iPhone12にして
から設定したため、気づくのが遅くなった。
厳密にいうとMFAデバイスの紛失!!
原因
Slide 16
Slide 16 text
ルートアカウントのMFAデバイスの
再設定をしなければ!!
Slide 17
Slide 17 text
3.ルートアカウントMFAデバイス再設定
Slide 18
Slide 18 text
(1)別方法でのルートユーザログイン
Slide 19
Slide 19 text
ルートアカウントとパスワードを入力し、MFAコード入力画面
を表示したら、「MFAのトラブルシューティング」をクリック。
①MFAのトラブルシューティング
Slide 20
Slide 20 text
②別の認証要素を使用したサインイン
Slide 21
Slide 21 text
ルートアカウントに登録されているメールアドレスに
確認メールを送信。
③登録メールアドレスに確認メール送信
Slide 22
Slide 22 text
「Verify your email address」をクリック
④受信メールのリンクをクリック
Slide 23
Slide 23 text
⑤登録した電話で6ケタコードを聞いて入力
電話番号の登録状況に問題があり、一度ここ
で躓いた(後述)。
Slide 24
Slide 24 text
⑥コンソールにサインイン
Slide 25
Slide 25 text
(2)MFA再設定
Slide 26
Slide 26 text
①対象ユーザの認証情報からMFA設定を削除
Slide 27
Slide 27 text
②MFAデバイスを再設定
Google Authenticatorで設定する場合
Slide 28
Slide 28 text
③新デバイスにて設定
事前にGoogle Authenticator
をインストール
クリックしてQRコードを表示。
Google Authenticatorアプリでスキャン。
Google Authenticatorに表示されるMFAコ
ードを2つ入力。入力したら、「MFAの割り
当て」をクリックできるようになる。
Slide 29
Slide 29 text
④登録完了
以下のように表示されればOK!!
Slide 30
Slide 30 text
4.つまずきポイント
Slide 31
Slide 31 text
そもそもルートアカウント登録時に正しく入れたはず。。。
電話の確認を完了できない(汗)
Slide 32
Slide 32 text
アカウントの連絡先情報に登録している電話番号を
国際電話向けに、(+81)で登録しなければならない。
070、 080、090で登録していると、電話が来ない(汗)
電話番号を国際電話向けで登録していなかった
変更して再実行したところ、電話番号の確認
ができて、ログイン完了!
Slide 33
Slide 33 text
AWSサポートへの連絡が必要。
平日9:00-18:00に折り返しが来るため、休日に気付いた場合は、
平日まで待つしかない…
https://support.aws.amazon.com/#/contacts/aws-mfa-support
もし電話番号変更ができなかったら・・・
Slide 34
Slide 34 text
5.まとめ
Slide 35
Slide 35 text
・二要素認証はすべてのアカウントに必ず設定しよう!!
・スマホの機種変をしたら、旧端末処分前にMFAデバイスの
登録変更を必ず実施すること!!
・MFAデバイス設定変更している端末を処分したり、紛失したり
すると、MFAデバイスの再登録手続きが面倒になることもある。
まとめ
Slide 36
Slide 36 text
No content