前提条件 — 別の MFA デバイスを使用するルートユーザー MFA デバイスの回復 IAM ユーザー MFA デバイスの回復

IAM 内で MFA で保護された ID を復元する

仮想 MFA デバイスまたはハードウェア TOTP トークンが正常に機能しているようでも、AWS リソースへのアクセスに使用できない場合は、AWS と同期していない可能性があります。仮想またはハードウェア MFA デバイスの同期については、「仮想 MFA デバイスとハードウェア MFA デバイスを再同期する」を参照してください。FIDO セキュリティキーは同期しなくなることはありません。

AWS アカウントのルートユーザーの MFA デバイスで紛失、破損、動作不能といった問題が起きても、アカウントへのアクセスを回復できます。IAM ユーザーは、デバイスを無効にするために管理者に連絡する必要があります。

重要

複数の MFA デバイスをアクティブ化することをお勧めします。複数の MFA デバイスを登録すると、1 つのデバイスが紛失または損傷しても、継続的なアクセスを確保できるようになります。AWS アカウントのルートユーザーと IAM ユーザーは、任意のタイプの MFA デバイスを最大 8 台登録できます。

前提条件 — 別の MFA デバイスを使用する

多要素認証 (MFA) デバイスを紛失または破損したり、MFA デバイスが機能しなかったりする場合は、同じルートユーザーまたは IAM ユーザーに登録された別の MFA デバイスを使用してサインインできます。

別の MFA デバイスを使用してサインインするには

AWS アカウント ID またはアカウントのエイリアスおよびパスワードを使用して AWS Management Console にサインインします。
[追加の検証が必要] ページまたは [多要素認証] ページで、[別の MFA 方法を試す] を選択します。
選択した MFA デバイスのタイプで認証します。
次のステップは、代替 MFA デバイスで正常にサインインしたかどうかによって異なります。
- 正常にサインインできたら、仮想 MFA デバイスとハードウェア MFA デバイスを再同期するを実行できます。これにより、問題が解決する可能性があります。MFA デバイスが紛失または破損した場合は、非アクティブ化できます。MFA デバイスタイプを無効にする方法については、「MFA デバイスを無効にする」を参照してください。
- MFA でサインインできない場合は、「ルートユーザー MFA デバイスの回復」または「IAM ユーザー MFA デバイスの回復」のステップを実行して、MFA で保護された ID を復旧します。

ルートユーザー MFA デバイスの回復

MFA を使用してサインインできない場合は、アカウントに登録されているメールアドレスと主な連絡先電話番号を使用して本人確認を行うことで、別の認証方法を使用してサインインできます。

代替認証要素を使用してルートユーザーとしてサインインする前に、アカウントに関連付けられている E メールと主要連絡先の電話番号にアクセスできることを確認します。主要連絡先の電話番号を更新する必要がある場合は、ルートユーザーではなく、管理者アクセス権を持つ IAM ユーザーとしてサインインします。アカウント連絡先情報の更新に関するその他の手順については、AWS Billing ユーザーガイドの「連絡先情報の編集」を参照してください。E メールと主要連絡先の電話番号にアクセスできない場合は、AWS Support に連絡する必要があります。

重要

アカウントを正常に回復するために、ルートユーザーにリンクされている E メールアドレスと連絡先電話番号を最新の状態に保つことをお勧めします。詳細については、「AWS Account Managementリファレンスガイド」の「AWS アカウントの主要連絡先の更新」を参照してください。

認証の代替要因を AWS アカウントのルートユーザーとして使用してログインするには

ルートユーザー] を選択し、AWS アカウントのメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。
「追加の検証が必要」ページで、認証に使用する MFA メソッドを選択し、[次へ] を選択します。

注記
次のような代替テキストが表示される場合があります。MFA を使用してサインイン、認証デバイスのトラブルシューティング、または MFA のトラブルシューティングですが、機能は同じです。代替認証要素を使用してアカウントの E メールアドレスと主要連絡先の電話番号を確認できない場合は、MFA デバイスを非アクティブ化するように AWS Support に連絡する必要があります。
使用している MFA の種類に応じて表示されるページは異なりますが、[MFA のトラブルシューティング] オプションの機能は同じです。[追加の検証が必要] ページまたは「[多要素認証] ページで、[MFA のトラブルシューティング] を選択します。
必要に応じて、パスワードをもう一度入力し、[サインイン] を選択します。
[認証デバイスのトラブルシューティング] ページの [別の認証要素を使用してサインイン] セクションで [別の要素を使用してサインイン] を選択します。
「別の認証要素を使用してサインイン」ページで、E メールアドレスの確認を行ってアカウントを認証します。[確認 E メールを送信] を選択します。
AWS アカウントに関連付けられているメールで、Amazon ウェブサービス (recover-mfa-no-reply@verify.signin.aws) からのメッセージを確認します。E メールの指示にしたがって操作します。

アカウントに E メールが表示されない場合は、迷惑メールフォルダを確認するか、ブラウザに戻り、[Resend the email (E メールの再送信)] を選択します。
E メールアドレスを確認した後も、アカウントの認証を続けることができます。主要連絡先の電話番号を確認するには、[Call me now] (すぐに連絡を受ける) を選択します。
AWS からの呼び出しに応答し、プロンプトが表示されたら、AWS ウェブサイトの電話番号の 6 桁の番号を入力します。

AWS からの呼び出しを受けない場合は、[サインイン] を選択してコンソールに再度サインインし、やり直してください。または、「Lost or unusable Multi-Factor Authentication (MFA) device」(多要素認証 (MFA) の紛失または使用不可) を参照して、サポートにお問い合わせください。
電話番号を確認した後、[Sign in to the console (コンソールにサインイン)] を選択してアカウントにサインインすることができます。
次の手順は、使用している MFA のタイプによって異なります。
- 仮想 MFA デバイスの場合は、デバイスからアカウントを削除します。次に、AWS セキュリティ認証情報ページにアクセスし、古い仮想 MFA デバイスのエンティティを削除してから、新しいキーペアを作成することができます。
- FIDO セキュリティキーの場合は、[AWS Security Credentials] ページに移動し、新しい FIDO セキュリティキーを有効にする前に古い FIDO セキュリティキーを非アクティブにします。
- ハードウェア TOTP トークンの場合は、デバイスの修理または交換についてサードパーティープロバイダーにお問い合わせください。新しいデバイスを受け取るまで、認証の代替要因を使用してサインインを続けることができます。新しいハードウェア MFA デバイスを入手したら、AWS セキュリティ認証情報ページに移動し、古い MFA デバイスを削除します。
注記
紛失または盗難された MFA デバイスを同じタイプのデバイスで置き換える必要はありません。例えば、FIDO セキュリティキーが損傷し、新しいものを注文した場合は、その新しい FIDO キーが届くまで、仮想 MFA またはハードウェア TOTP トークンを使用できます。

重要

MFA デバイスが紛失または盗まれた場合は、代替の MFA デバイスにサインインして確立してから、ルートユーザーパスワードを変更します。攻撃者が認証デバイスを盗み、現在のパスワードも保持している可能性があるからです。詳細については、「AWS アカウントのルートユーザーのパスワードを変更する」を参照してください。

IAM ユーザー MFA デバイスの回復

MFA でサインインできない IAM ユーザーは、自ら MFA デバイスを復旧することはできません。管理者に連絡して、デバイスを非アクティブ化するように依頼する必要があります。その後、新しいデバイスを有効にすることができます。

IAM ユーザーとしての MFA デバイスに関するヘルプ情報を入手するには

お使いの IAM ユーザーのユーザー名やパスワードの設定を行った AWS システム管理者あるいは別の担当者にご連絡ください。管理者は､サインインできるように「MFA デバイスを無効にする」の説明に従って、MFA デバイスを非アクティブ化する必要があります。
次の手順は、使用している MFA のタイプによって異なります。
- 仮想 MFA デバイスの場合は、デバイスからアカウントを削除します。次に、「AWS Management Consoleで仮想 MFA デバイスを割り当てる」の説明に従って､仮想デバイスを有効にします。
- FIDO セキュリティキーの場合、デバイスの交換についてサードパーティープロバイダーにお問い合わせください。新しい FIDO セキュリティキーを受け取ったら、「AWS Management Consoleでパスキーやセキュリティキーを割り当てる」で説明されているとおりに有効にします。
- ハードウェア TOTP トークンの場合は、デバイスの修理または交換についてサードパーティープロバイダーにお問い合わせください。新しい物理 MFA デバイスを入手したら、「AWS Management Consoleでハードウェア TOTP トークンを割り当てる」の説明に従ってデバイスを有効にします。
注記
紛失または盗難された MFA デバイスを同じタイプのデバイスで置き換える必要はありません。任意の組み合わせの MFA デバイスを最大で 8 台用意できます。例えば、FIDO セキュリティキーが損傷し、新しいものを注文した場合は、その新しい FIDO キーが届くまで、仮想 MFA またはハードウェア TOTP トークンを使用できます。
MFA デバイスを紛失または盗難にあった場合は、アタッカーがその認証デバイスから現在のパスワードを入手している可能性があるため、パスワードを変更してください。詳細については、「IAM ユーザーのパスワードを管理する」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

MFA デバイスを無効にする

MFA を使用した安全な API アクセス