AWSでアカウントを作成したら設定しておくべき項目があります。その中でルートアカウントのMFA(多要素認証)の設定があるのですが、設定後にMFAの認証コードがわからなくなってしまいました。厳密にはわからなくはなっていなかったのですが、（なにを言っているかわからないと思いますが）備忘録のため書きたいと思います。

何が起こったか？

AWSのルートアカウントにログインができなくなりました。

前談

AWSのルートアカウントはデフォルトだとメールアドレスとパスワードでログインできるのですが、セキュリティの観点からMFA設定をすることが推奨されています。詳しい手順はこちらの記事に載っているので参照頂きたいのですが、これをするにはスマホでGoogle Authenticatorというアプリを使う必要があります。

このアプリワンタイムパスコードを表示してくれて時間が経つと違うパスコードに切り替わります。このパスコードを2つ入力してMFAを設定することになります。この設定は問題なくできました。

ログインできなくなった？

AWSアカウントをサインアウトし、再度サインインしようとしたときにMFAのパスコードの入力を求められます。多要素認証であれば当然なのですが、アプリを見ても時間ごとにパスコードが更新されており、「やば、入力したときのパスコードメモってないわ…」と勘違いしてしまいました。そしてトラブルシューティングに進むことに…。

実はこの時アプリに表示されているパスコードを入力していれば問題なくサインイン可能でした。でもアプリのパスコードが時間毎に切り替わっていたので勘違いしてしまいました…。

電話がこない…

仕方がないのでトラブルシューティングからやり直しを試みます。

ステップ１のメールはきちんと送られて完了できるのですが、ステップ２の電話番号で失敗してしまいます。時間も夜中の1時半になってしまい、「夜中だからな…」と謎の理由で作業をストップすることにしました。

サポートへ連絡

朝起きて早速ステップをやり直してみましたがやはりステップ２で失敗してしまい状況が変わりません。観念してAWSサポートに問い合わせることにしました。

サポートはメールでの問い合わせとなり、メールアドレスや電話番号を入力しサポート言語が英語か日本語か選べました。英語の場合は15分以内に電話がくるみたいですが、日本語だと平日の9:00-18:00の間に電話がくるようです。朝8時くらいにメールをしたのですが、9:15くらいにはサポートから電話がきました。

事情を説明するとすぐにメールアドレスとパスワードでサインインできるようにしてもらうことが出来ました。帰宅後試してみたら確かにサインインできました！

教訓

結果的にやらなくていい作業をしてしまい、1日無駄にしてしまいました。流れで設定を進めず、わからない部分はきちんと立ち止まって調べる事の大切さを再認識しました…。

3/11追記：調べた内容をQiitaに投稿しました。

AWSのMFA有効化を例にTOTPをざっくり説明