【AWSアクセスポータル】MFAコード認証からメールによるワンタイムパスワード認証に設定を変更する

やりたいこと

AWSアクセスポータルからログインするときに、メールとパスワードを入力したあとに毎回MFAデバイスでコードを確認して入力することを必須の設定にしていたが、メールアドレスにワンタイムパスワード(OTP)を送信させてそれを入力する方式に切り替えたい。

理由

• MFAデバイス(Authenticator アプリケーション)を確認するのが面倒
• 趣味で使用するAWSアカウントのため現状MFAにしないといけない要件はない

作業

1. AWSの現在の設定を確認する

AWSにログインして「IAM Identity Center」にアクセスします。

ナビメニューの「設定」をクリックし、

「認証」タブの「多要素認証」セクションの「設定」をクリック。

私の場合はこれまではMFAデバイスでの認証を必須にしたかったので以下のように「サインインごと (常時オン)」で「サインイン時に MFA デバイスを登録するよう要求する」にしていました。

この「登録された MFA デバイスをユーザーが持っていない場合」の項目を「サインイン時に E メールで送信されるワンタイムパスワードの入力を要求する」に変更します。
その際、「ユーザーは自分の MFA デバイスを追加および管理できる」にもチェックを入れておきます。

2. 登録済みMFAデバイスを削除する

ここまでの手順でMFAコードによる認証とメールOTPによる認証のどちらも可能になりましたが、私がこれまで使用していたアカウントはすでにMFAデバイスが登録済みのため、自動でMFAコード認証が選択されてしまいます。
これをメールOTP認証にするために登録済みのMFAデバイスを削除します。

まずAWSアクセスポータルにこれまで通りにログインします。（この時点ではMFAコード認証）
そして右上の「MFA devices」をクリックします。

登録済みのMFAデバイス情報が表示されるため、選択して「Delete」ボタンをクリックします。

削除が完了したらAWSアクセスポータルからログアウトして、再度サインインしてみます。

ちゃんとメールOTP認証に移行しました。
比較用に修正前後のスクショを載せます。

修正前	修正後

以上です。