IAMユーザーのMFAが複数登録できるようになっていたみたいですね、全然気づいていませんでした。
最大で8個まで登録できるようです。普段使いにYubiKeyとバックアップのTOTPを2つくらい登録しておけば概ね困らなそうです。
さっそく設定してみる
複数のMFAを設定したいIAMユーザーの画面に移動して「MFAデバイスの割り当て」をポチ
以下のようにどのようなデバイスを登録するかを選択する画面がでてくるので、自分が追加したいデバイスの種類を選択。名前は必須みたいなので、わかりやすいものを付けておくといいでしょう。
私はYubiKeyを追加したので「Security key」を選択すると以下の様にYubiKeyを登録する画面になりました。
以下のように複数のデバイスが登録されているのが確認できます。やったぜ
ログインを試すとこんな感じで複数の選択肢がでてきます。
まとめ
以前は1つか登録できず、YubiKeyの紛失や破損でAWSにログインできなくなるのは困るのでTOTPを登録していました。TOTPはシークレットさえバックアップされていれば他のデバイスからでもコードを生成できるのがいいですね。YubiKeyは物理キーなので破損や紛失で1発アウトです。そこが怖くてYubiKeyをあまり使えていなかったのですが、バックアップのTOTPと普段使いのYubiKeyの二刀流ができるので安心してYubiKeyを活用できそうです。ログインは明らかにYubiKeyの方が楽なので、これからYubiKeyに穴が開くほどタッチしていきたいと思います。