メニュー
AWS Identity and Access Management
ユーザーガイド

AWS アカウントのルートユーザー

Amazon Web Services (AWS) アカウントを初めて作成するときは、お客様のアカウントのすべての AWS サービスとリソースへの完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは root ユーザーと呼ばれ、AWS アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスされます。

重要

強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、root ユーザーを使用しないことです。代わりに、root ユーザーを使用して最初の IAM ユーザーを作成した後は、root ユーザーの認証情報を安全な場所に保管し、いくつかのアカウントおよびサービスの管理タスクの実行のみに使用するというベストプラクティスに従います。root ユーザーとしてサインインする必要があるタスクを確認するには、「アカウントのルートユーザーが必要な AWS のタスク」を参照してください。日常的に使用する管理者のセットアップ方法のチュートリアルについては、「最初の IAM 管理者のユーザーおよびグループの作成」を参照してください。

root user を管理するには、以下の手順に従ってください。

AWS アカウントの root ユーザーに対して MFA を有効にする

root ユーザーの認証情報を引き続き使用する場合は、お客様のアカウントで多要素認証 (MFA) を有効にすることがセキュリティ上のベストプラクティスとなります。root user はアカウントで機密性の高い操作を実行できるため、追加の認証レイヤーを追加すると、アカウントのセキュリティを強化できます。MFA には複数のタイプがあります。MFA の有効化の詳細については、以下を参照してください。

root ユーザーのアクセスキーの作成

root user のアクセスキーは、AWS マネジメントコンソール や AWS プログラミングツールを使用して作成できます。

AWS account root user のアクセスキーを作成するには (コンソール)

  1. Use your AWS account email address and password to sign in to the AWS マネジメントコンソール as the AWS account root user.

    注記

    If you previously signed in to the console with IAM user credentials, your browser might remember this preference and open your account-specific sign-in page. You cannot use the IAM user sign-in page to sign in with your AWS account root user credentials. If you see the IAM user sign-in page, choose Sign-in using root account credentials near the bottom of the page to return to the main sign-in page. From there, you can type your AWS account email address and password.

  2. [IAM ダッシュボード] ページのナビゲーションバーで、アカウント名を選択してから、[My Security Credentials] を選択します。

  3. AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[Continue to Security Credentials] を選択します。

  4. [Access keys (access key ID and secret access key)] セクションを展開します。

  5. [Create New Access Key] を選択します。シークレットアクセスキーを表示またはダウンロードできるのは今回のみであることを示す警告画面が表示されます。このキーは後で取得することはできません。

    • [Show Access Key] を選択した場合は、ブラウザーのウィンドウからアクセスキー ID とシークレットキーをコピーし、どこか別の場所に貼り付けることができます。

    • [Download Key File] を選択した場合は、アクセスキー ID とシークレットキーが含まれる rootkey.csv という名前のファイルを受け取ります。そのファイルをどこか安全な場所に保管します。

  6. アクセスキーが不要になったら、そのキーを削除するか、少なくとも [Make Inactive] を選択して非アクティブにマークして、万一の漏洩時に悪用されないようにすることをお勧めします。

root user のアクセスキーを作成するには (プログラム)

以下のいずれかのコマンドを使用します。

root ユーザーのアクセスキーの削除

AWS マネジメントコンソール またはさまざまなプログラミングツールを使用して、root user ユーザーのアクセスキーを削除できます。

AWS account root user ユーザーのアクセスキーを削除するには (コンソール)

  1. AWS アカウントのメールアドレスとパスワードを使用し、ルートユーザーとして AWS マネジメントコンソールにサインインしてください。

    注記

    過去に IAM ユーザー認証情報を使用してコンソールにサインインしたことがあり、そのときの情報がブラウザに記録されている場合、自分のアカウント固有のサインインページが開きます。IAM ユーザーサインインページで、AWS アカウントのルートユーザー認証情報を使用してサインインすることはできません。IAM ユーザーのサインインページが表示された場合は、ページの下部付近にある [Sign-in using root account credentials] を選択し、サインインのメインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを入力できます。

  2. [IAM ダッシュボード] ページのナビゲーションバーで、アカウント名を選択してから、[My Security Credentials] を選択します。

  3. AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[Continue to Security Credentials] を選択します。

  4. [Access keys (access key ID and secret access key)] セクションを展開します。

  5. 削除するアクセスキーを見つけたら、[Actions] 列で [Delete] を選択します。

    注記

    アクセスキーを削除する代わりに、非アクティブとしてマークできます。これにより、キー ID またはシークレットキーを変更することなく、後でそのキーの使用を再開できます。非アクティブになっているアクセスキーを AWS API へのリクエストで使用しようとしても、その試みはすべて失敗して、アクセス拒否の状態になります。

root user のアクセスキーを削除するには (プログラム)

以下のいずれかのコマンドを使用します。

root ユーザーのパスワードの変更

root user のパスワードの変更については、「AWS アカウントのルートユーザーのパスワードの変更」を参照してください。root user を変更するには、root user 認証情報を使用してログインする必要があります。root user としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。