AWS アカウントのルートユーザー - AWS Identity and Access Management

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS アカウントのルートユーザー

Amazon Web Services (AWS) アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは、AWS アカウントのルートユーザーと呼ばれます。アカウントの作成に使用した E メールアドレスとパスワードを使用して、root ユーザーとしてサインインできます。

重要

強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、root ユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。root ユーザーとしてサインインする必要があるタスクを確認するには、「アカウントのルートユーザーが必要な AWS のタスク」を参照してください。日常的に使用する管理者のセットアップ方法のチュートリアルについては、「最初の IAM 管理者のユーザーおよびグループの作成」を参照してください。

AWS アカウントのルートユーザー のアクセスキー (アクセスキー ID とシークレットアクセスキー) は、作成、更新、無効化、または削除できます。ルートユーザー パスワードを変更することもできます。AWS アカウントの ルートユーザー 認証情報を持っていればだれでも、請求情報を含むアカウントのすべてのリソースに無制限にアクセスできます。

アクセスキーを作成するときは、アクセスキー ID とシークレットアクセスキーをセットとして作成します。アクセスキーの作成時に、AWS では、アクセスキーのシークレットアクセスキーの部分を表示およびダウンロードする機会が 1 回限り与えられます。これをダウンロードしない場合や紛失した場合は、アクセスキーを削除して新しいアクセスキーを作成できます。ルートユーザー ユーザーアクセスキーは、IAM コンソール、AWS CLI、または AWS API で作成できます。

新しく作成したアクセスキーのステータスは active になります。これは、CLI および API コール用にこのアクセスキーを使用できる状態です。IAM ユーザーごとに持つことができるアクセスキーは 2 つまでです。これは、アクセスキーを更新する場合に便利です。また、ルートユーザー に最大 2 つのアクセスキーを割り当てることもできます。アクセスキーを無効にした場合、API コールに使用することはできず、また無効なキーは制限に対してカウントされます。アクセスキーはいつでも作成したり削除したりすることができます。ただし、一度アクセスキーを削除した場合、永久に削除されて、回復することはできません。

[Security Credentials] ページにアクセスすれば、E メールアドレスとパスワードを変更できます。AWS サインインページで [Forgot password?] を選択して、パスワードをリセットすることもできます。

AWS アカウントを作成または削除する

詳細については、AWS ナレッジセンターの次の記事を参照してください。

AWS アカウントの root ユーザーに対して MFA を有効にする

root ユーザーの認証情報を引き続き使用する場合は、お客様のアカウントで多要素認証 (MFA) を有効にするセキュリティ上のベストプラクティスに従うことをお勧めします。ルートユーザー はアカウントで機密性の高い操作を実行できるため、追加の認証レイヤーを追加すると、アカウントのセキュリティを強化できます。MFA には複数のタイプがあります。MFA の有効化の詳細については、以下を参照してください。

root ユーザーのアクセスキーの作成

ルートユーザー のアクセスキーは、AWS マネジメントコンソール や AWS プログラミングツールを使用して作成できます。

AWS アカウントのルートユーザー のアクセスキーを作成するには (コンソール)

  1. ルートユーザー を選択し AWS アカウントの E メールアドレスを入力して、アカウントの所有者としてIAM コンソールにサインインします。次のページでパスワードを入力します。

    注記

    3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページが表示されたら、ページの下部にある [Sign in using ルートユーザー email (ルートユーザー の E メールを使用してサインイン)] を選択します。これにより、メインのサインインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを使用して、ルートユーザー としてサインインできます。

  2. ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。

  3. AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。

  4. [アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。

  5. [新しいアクセスキーの作成] を選択します。この機能が無効な場合は、新しいキーを作成する前に、既存のアクセスキーのいずれかを削除する必要があります。詳細については、IAM ユーザーガイド の「IAM エンティティオブジェクトの制限」を参照してください。

    シークレットアクセスキーを表示またはダウンロードできるのは今回のみであることを示す警告画面が表示されます。このキーは後で取得することはできません。

    • [アクセスキーを表示] を選択した場合は、ブラウザーのウィンドウからアクセスキー ID とシークレットキーをコピーし、どこか別の場所に貼り付けることができます。

    • [キーファイルのダウンロード] を選択した場合は、アクセスキー ID とシークレットキーが含まれる rootkey.csv という名前のファイルを受け取ります。そのファイルをどこか安全な場所に保管します。

  6. アクセスキーが不要になったら、そのキーを削除するか、少なくとも [有効化] を選択して非アクティブにマークすることで、悪用されないようにすることをお勧めします。

ルートユーザー のアクセスキーを作成するには (AWS CLI または AWS API)

以下のいずれかを使用します。

root ユーザーのアクセスキーの削除

AWS マネジメントコンソール を使用して、ルートユーザー のアクセスキーを削除できます。AWS CLI または AWS API を使用して、ルートユーザアクセスキーを削除することはできません。

  1. AWS アカウントの E メールアドレスとパスワードを使用し、AWS アカウントのルートユーザー として AWS マネジメントコンソール にサインインしてください。

    注記

    3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページが表示されたら、ページの下部にある [Sign in using ルートユーザー email (ルートユーザー の E メールを使用してサインイン)] を選択します。これにより、メインのサインインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを使用して、ルートユーザー としてサインインできます。

  2. ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。

  3. AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。

  4. [アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。

  5. 削除するアクセスキーを見つけたら、[Actions (アクション)] 列で [Delete (削除)] を選択します。

    注記

    アクセスキーを削除する代わりに、非アクティブとしてマークできます。これにより、キー ID またはシークレットキーを変更することなく、後でそのキーの使用を再開できます。非アクティブになっているアクセスキーを AWS API へのリクエストで使用しようとしても、その試みはすべて失敗して、アクセス拒否の状態になります。

root ユーザーのパスワードの変更

ルートユーザー のパスワードの変更については、「AWS アカウントのルートユーザーのパスワードの変更」を参照してください。ルートユーザー を変更するには、ルートユーザー 認証情報を使用してログインする必要があります。ルートユーザー としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

root ユーザーの認証情報の保護

AWS アカウントのルートユーザーの認証情報を保護する方法の詳細については、「AWS アカウントのルートユーザー アクセスキーをロックする」を参照してください。