AWS アカウントを作成または削除する AWS アカウントルートユーザーに対して MFA を有効化ルートユーザーのアクセスキーの作成ルートユーザーのアクセスキーの削除ルートユーザーのパスワードの変更ルートユーザーの認証情報の保護ルートユーザーオーナーの譲渡

AWS アカウントルートユーザー

Amazon Web Services (AWS) アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは、AWS アカウントのルートユーザーと呼ばれます。アカウントの作成に使用した E メールアドレスとパスワードを使用して、root ユーザーとしてサインインできます。

重要

強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、root ユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。ルートユーザーとしてサインインする必要があるタスクについては、「AWSルートユーザーを必要とするタスク」を参照してください。日常的に使用する管理者のセットアップ方法のチュートリアルについては、「最初の IAM 管理者ユーザーおよびユーザーグループの作成」を参照してください。

AWS アカウントルートユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) は、作成、更新、無効化、または削除できます。ルートユーザーパスワードを変更することもできます。AWS アカウントのルートユーザー認証情報を持っていればだれでも、請求情報を含むアカウントのすべてのリソースに無制限にアクセスできます。

アクセスキーを作成するときは、アクセスキー ID とシークレットアクセスキーをセットとして作成します。アクセスキーの作成時に、AWS では、アクセスキーのシークレットアクセスキーの部分を表示およびダウンロードする機会が 1 回限り与えられます。これをダウンロードしない場合や紛失した場合は、アクセスキーを削除して新しいアクセスキーを作成できます。ルートユーザーユーザーアクセスキーは、IAM コンソール、AWS CLI、または AWS API で作成できます。

新しく作成したアクセスキーのステータスは active になります。これは、CLI および API コール用にこのアクセスキーを使用できる状態です。IAM ユーザーごとに持つことができるアクセスキーは 2 つまでです。これは、アクセスキーを更新する場合に便利です。また、ルートユーザーに最大 2 つのアクセスキーを割り当てることもできます。アクセスキーを無効にした場合、API コールに使用することはできず、また無効なキーは制限に対してカウントされます。アクセスキーはいつでも作成したり削除したりすることができます。ただし、一度アクセスキーを削除した場合、永久に削除されて、回復することはできません。

[Security Credentials] ページにアクセスすれば、E メールアドレスとパスワードを変更できます。AWS サインインページで [Forgot password?] を選択して、パスワードをリセットすることもできます。

タスク

AWS アカウントを作成または削除する
AWS アカウントルートユーザーに対して MFA を有効化
ルートユーザーのアクセスキーの作成
ルートユーザーのアクセスキーの削除
ルートユーザーのパスワードの変更
ルートユーザーの認証情報の保護
ルートユーザーオーナーの譲渡

AWS アカウントを作成または削除する

詳細については、AWS ナレッジセンターの次の記事を参照してください。

AWS アカウントルートユーザーに対して MFA を有効化

ルートユーザー認証情報を引き続き使用する場合は、お客様のアカウントで多要素認証 (MFA) を有効にするセキュリティ上のベストプラクティスに従うことをお勧めします。ルートユーザーはアカウントで機密性の高い操作を実行できるため、追加の認証レイヤーを追加すると、アカウントのセキュリティを強化できます。MFA には複数のタイプがあります。MFA の有効化の詳細については、以下を参照してください。

ルートユーザーのアクセスキーの作成

ルートユーザーのアクセスキーは、AWS Management Console や AWS プログラミングツールを使用して作成できます。

AWS アカウントルートユーザーのアクセスキーを作成するには (コンソール)

ルートユーザー を選択し AWS アカウントの E メールアドレスを入力して、アカウントの所有者として IAM コンソールにサインインします。次のページでパスワードを入力します。

注記

3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページが表示されたら、ページの下部にある [Sign in using ルートユーザー email (ルートユーザーの E メールを使用してサインイン)] を選択します。これにより、メインのサインインページに戻ります。ここから、 AWS アカウントの E メールアドレスとパスワードを使用して、ルートユーザーとしてサインインできます。
ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。
AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。
[アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。
[新しいアクセスキーの作成] を選択します。この機能が無効な場合は、新しいキーを作成する前に、既存のアクセスキーのいずれかを削除する必要があります。詳細については、IAM ユーザーガイド の「IAM エンティティオブジェクトの制限」を参照してください。

シークレットアクセスキーを表示またはダウンロードできるのは今回のみであることを示す警告画面が表示されます。このキーは後で取得することはできません。
- [アクセスキーを表示] を選択した場合は、ブラウザーのウィンドウからアクセスキー ID とシークレットキーをコピーし、どこか別の場所に貼り付けることができます。
- [キーファイルのダウンロード] を選択した場合は、アクセスキー ID とシークレットキーが含まれる rootkey.csv という名前のファイルを受け取ります。そのファイルをどこか安全な場所に保管します。
アクセスキーが不要になったら、そのキーを削除するか、少なくとも [有効化] を選択して非アクティブにマークすることで、悪用されないようにすることをお勧めします。

ルートユーザーのアクセスキーを作成するには (AWS CLI または AWS API)

以下のいずれかを使用します。

AWS CLI: aws iam create-access-key
AWS API: CreateAccessKey

ルートユーザーのアクセスキーの削除

AWS Management Console を使用して、ルートユーザーのアクセスキーを削除できます。

AWS アカウントの E メールアドレスとパスワードを使用し、 AWS アカウントルートユーザーとして AWS Management Console にサインインしてください。

注記

3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページが表示されたら、ページの下部にある [Sign in using ルートユーザー email (ルートユーザーの E メールを使用してサインイン)] を選択します。これにより、メインのサインインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを使用して、ルートユーザーとしてサインインできます。
ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。
AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。
[アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。
削除するアクセスキーを見つけたら、[Actions (アクション)] 列で [Delete (削除)] を選択します。

注記

アクセスキーを削除する代わりに、非アクティブとしてマークできます。これにより、キー ID またはシークレットキーを変更することなく、後でそのキーの使用を再開できます。非アクティブになっているアクセスキーを AWS API へのリクエストで使用しようとしても、その試みはすべて失敗して、アクセス拒否の状態になります。

ルートユーザーのパスワードの変更

ルートユーザーのパスワードの変更については、「AWS アカウントのルートユーザーのパスワードの変更」を参照してください。ルートユーザーを変更するには、ルートユーザー認証情報を使用してログインする必要があります。ルートユーザーとしてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

ルートユーザーの認証情報の保護

AWS アカウントルートユーザーの認証情報を保護する方法の詳細については、「 AWS アカウントルートユーザーアクセスキーをロックする」を参照してください。

ルートユーザーオーナーの譲渡

ルートユーザーの所有権を譲渡するには、自分の AWS アカウントを別の個人または組織に譲渡するには、どうすれば良いでしょうか? を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

一時的な認証情報のための追加リソース

CloudTrail によるイベントのログ記録

AWS アカウント ルートユーザー

AWS アカウントを作成または削除する

AWS アカウント ルートユーザー に対して MFA を有効化

ルートユーザー のアクセスキーの作成

ルートユーザー のアクセスキーの削除

ルートユーザー のパスワードの変更

ルートユーザー の認証情報の保護

ルートユーザー オーナーの譲渡