AWSの仮想MFAデバイスの再登録の方法(シークレット設定キーを使う)

AWS, IAM, MFA, TOTP

AWSの仮想MFAデバイスとしてスマホを利用している場合、機種変更する時などにはMFAの再登録をしなければなりません。

例えば、破損や紛失ではなく前のスマホが正常に使える場合は、

旧MFAでログイン → 新MFAを登録 → 旧MFAを無効・・・

ということを繰り返せば自力でもできますが、前のスマホが使えなくなった場合は、他の管理者ユーザに頼むしかなく困ってしまいます。

自力で再登録できるように、QRコードの画像を「パスワード管理ソフト」などに安全に保存しておいて、必要な時にそのQRコードで再登録する方法もありますが、画像データでは扱いがやや大変なので他の方法を調べてみました。

シークレット設定キーをテキストで保存して、復元する方法

上記の「QRコードの画像を保管」と本質的は同じデータなのですが、こちらの方がテキストを保存するだけで・・・。

まず、

  1. 認証コードを登録する画面で「手動設定のシークレットキーを表示」をします。

  2. 表示された何桁かのシークレット設定キーを「パスワード管理ソフト」などに安全に保管しておきます。

再登録する際は(「Google認証システム」の場合)

  1. 「提供されたキーを入力」から

  1. 必要な情報を登録

アカウント名を入力

ここは任意です。わかりやすい名前をつけておきます。

キーをここに入力

シークレット設定キーを入力。
間違えないように正確に。

「時間ベース」を選択


これで登録が完了ですが。手入力は無理です・・・。

コピペできない為、シークレット設定キーを手入力でやるのはかなり厳しいです。
試しに上記の手順やってみようかと思いましたが、途中で挫折しました。(ので、試してません・・・すみません)

かと言って、スマホ宛てにキーをメールやSlackで送るのもセキュアではない気がするので、別の方法で。

シークレット設定キーから登録用のQRコードを作る

仮想MFAを作成する時のQRコードを覗いてみるとこんな感じの内容になります。

この辺の詳しい内容は こちら にあります。

フォーマットはこんな感じにすればよいようです。

発行者とアカウント名の文字列が長いと、「Google認証システム」アプリで見たときにとても確認しづらいため、わかりやすく簡潔にまとめて、次のようにしてみました。

あとはQRコードを作成します。
(大切なキーが含まれますので、あまり謎のWebサービスなどはおすすめしません)

まとめ

結局いろいろ手間な上に、最終的にQRコードを作成することになるため、最初からQRコードの画像を保存してもいいのかもしれませんが、お好みで。

この記事を書いた人

武政
武政なかの人
釣りとカレーと犬と音楽(プログレ)が好きです。
オンプレミス、プライベートクラウドのインフラ業務を行った後、AWS移行プロジェクトに参画。設計、構築、全体の管理などを担当。
たまに開発もやります。

AWS, IAM, MFA, TOTP