AWSの仮想MFAデバイスとしてスマホを利用している場合、機種変更する時などにはMFAの再登録をしなければなりません。
例えば、破損や紛失ではなく前のスマホが正常に使える場合は、
旧MFAでログイン → 新MFAを登録 → 旧MFAを無効・・・
ということを繰り返せば自力でもできますが、前のスマホが使えなくなった場合は、他の管理者ユーザに頼むしかなく困ってしまいます。
自力で再登録できるように、QRコードの画像を「パスワード管理ソフト」などに安全に保存しておいて、必要な時にそのQRコードで再登録する方法もありますが、画像データでは扱いがやや大変なので他の方法を調べてみました。
シークレット設定キーをテキストで保存して、復元する方法
上記の「QRコードの画像を保管」と本質的は同じデータなのですが、こちらの方がテキストを保存するだけで・・・。
まず、
- 認証コードを登録する画面で「手動設定のシークレットキーを表示」をします。
表示された何桁かのシークレット設定キーを「パスワード管理ソフト」などに安全に保管しておきます。
再登録する際は(「Google認証システム」の場合)
- 「提供されたキーを入力」から
- 必要な情報を登録
アカウント名を入力
ここは任意です。わかりやすい名前をつけておきます。
キーをここに入力
シークレット設定キーを入力。
間違えないように正確に。
「時間ベース」を選択
これで登録が完了ですが。手入力は無理です・・・。
コピペできない為、シークレット設定キーを手入力でやるのはかなり厳しいです。 試しに上記の手順やってみようかと思いましたが、途中で挫折しました。(ので、試してません・・・すみません)
かと言って、スマホ宛てにキーをメールやSlackで送るのもセキュアではない気がするので、別の方法で。
シークレット設定キーから登録用のQRコードを作る
仮想MFAを作成する時のQRコードを覗いてみるとこんな感じの内容になります。
otpauth://totp/Amazon%20Web%20Services:iamuser@ACCOUNT_NAME?secret=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX&issuer=Amazon%20Web%20Services
この辺の詳しい内容は こちら にあります。
フォーマットはこんな感じにすればよいようです。
otpauth://totp/発行者:アカウント名?issuer=発行者&secret=シークレット設定キー
発行者とアカウント名の文字列が長いと、「Google認証システム」アプリで見たときにとても確認しづらいため、わかりやすく簡潔にまとめて、次のようにしてみました。
otpauth://totp/AWS:ACCOUNT_NAME?issuer=AWS&secret=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
あとはQRコードを作成します。 (大切なキーが含まれますので、あまり謎のWebサービスなどはおすすめしません)
まとめ
結局いろいろ手間な上に、最終的にQRコードを作成することになるため、最初からQRコードの画像を保存してもいいのかもしれませんが、お好みで。
武政
釣りとカレーと犬と音楽(プログレ)が好きです。
オンプレミス、プライベートクラウドのインフラ業務を行った後、AWS移行プロジェクトに参画。設計、構築、全体の管理などを担当。
たまに開発もやります。
