AWS アカウントのルートユーザー
Amazon Web Services (AWS) アカウントを初めて作成するときは、お客様のアカウントのすべての AWS サービスとリソースへの完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは root ユーザーと呼ばれ、AWS アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスされます。
重要
強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、root ユーザーを使用しないことです。代わりに、root ユーザーを使用して最初の IAM ユーザーを作成した後は、root ユーザーの認証情報を安全な場所に保管し、いくつかのアカウントおよびサービスの管理タスクの実行のみに使用するというベストプラクティスに従います。root ユーザーとしてサインインする必要があるタスクを確認するには、「アカウントのルートユーザーが必要な AWS のタスク」を参照してください。日常的に使用する管理者のセットアップ方法のチュートリアルについては、「最初の IAM 管理者のユーザーおよびグループの作成」を参照してください。
AWS アカウントのルートユーザー のアクセスキー (アクセスキー ID とシークレットアクセスキー) は、作成、更新、無効化、または削除できます。ルートユーザー パスワードを変更することもできます。AWS アカウントの ルートユーザー 認証情報を持っていればだれでも、請求情報を含むアカウントのすべてのリソースに無制限にアクセスできます。
アクセスキーを作成するときは、アクセスキー ID とシークレットアクセスキーをセットとして作成します。アクセスキーの作成時に、AWS では、アクセスキーのシークレットアクセスキーの部分を表示およびダウンロードする機会が 1 回限り与えられます。これをダウンロードしない場合や紛失した場合は、アクセスキーを削除して新しいアクセスキーを作成できます。IAM ユーザーアクセスキーは、IAM コンソール、AWS CLI、または AWS API で作成できます。詳細については、IAM ユーザーガイド の「IAM ユーザーのアクセスキーの管理」を参照してください。AWS アカウントのルートユーザー のアクセスキーを作成するには、AWS マネジメントコンソール を使用する必要があります。
新しく作成したアクセスキーのステータスは active になります。これは、CLI と API コール用にこのアクセスキーを使用できる状態です。IAM ユーザーごとに持つことができるアクセスキーは 2 つまでです。これは、アクセスキーを更新する場合に便利です。また、ルートユーザー に最大 2 つのアクセスキーを割り当てることもできます。アクセスキーを無効にした場合、API コールに使用することはできず、また無効なキーは制限に対してカウントされます。アクセスキーはいつでも作成したり削除したりすることができます。ただし、一度アクセスキーを削除した場合、永久に削除されて、回復することはできません。
AWS アカウントの root ユーザーに対して MFA を有効にする
root ユーザーの認証情報を引き続き使用する場合は、お客様のアカウントで多要素認証 (MFA) を有効にするセキュリティ上のベストプラクティスに従うことをお勧めします。ルートユーザー はアカウントで機密性の高い操作を実行できるため、追加の認証レイヤーを追加すると、アカウントのセキュリティを強化できます。MFA には複数のタイプがあります。MFA の有効化の詳細については、以下を参照してください。
root ユーザーのアクセスキーの作成
ルートユーザー のアクセスキーは、AWS マネジメントコンソール や AWS プログラミングツールを使用して作成できます。
AWS アカウントのルートユーザー のアクセスキーを作成するには (コンソール)
-
AWS アカウントのメールアドレスとパスワードを使用し、AWS アカウントのルートユーザー として AWS マネジメントコンソールにサインインします。
注記
過去に IAM ユーザー認証情報を使用してコンソールにサインインしたことがあり、そのときの情報がブラウザに記録されている場合、自分のアカウント固有のサインインページが開きます。IAM ユーザーサインインページで、AWS アカウントのルートユーザー 認証情報を使用してサインインすることはできません。IAM ユーザーのサインインページが表示された場合は、ページの下部付近にある [Sign-in using ルートユーザー credentials] を選択し、サインインのメインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを入力できます。
-
ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。
-
AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。
-
[アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。
-
[新しいアクセスキーの作成] を選択します。この機能が無効な場合は、新しいキーを作成する前に、既存のアクセスキーのいずれかを削除する必要があります。詳細については、IAM ユーザーガイド の「IAM エンティティオブジェクトの制限」を参照してください。
シークレットアクセスキーを表示またはダウンロードできるのは今回のみであることを示す警告画面が表示されます。このキーは後で取得することはできません。
-
[アクセスキーを表示] を選択した場合は、ブラウザーのウィンドウからアクセスキー ID とシークレットキーをコピーし、どこか別の場所に貼り付けることができます。
-
[キーファイルのダウンロード] を選択した場合は、アクセスキー ID とシークレットキーが含まれる
rootkey.csvという名前のファイルを受け取ります。そのファイルをどこか安全な場所に保管します。
-
-
アクセスキーが不要になったら、そのキーを削除するか、少なくとも [有効化] を選択して非アクティブにマークすることで、悪用されないようにすることをお勧めします。
ルートユーザー のアクセスキーを作成するには (AWS CLI または AWS API)
以下のいずれかを使用します。
-
AWS CLI: aws iam create-access-key
-
AWS API: CreateAccessKey
root ユーザーのアクセスキーの削除
AWS マネジメントコンソール またはさまざまなプログラミングツールを使用して、ルートユーザー ユーザーのアクセスキーを削除できます。
AWS アカウントのルートユーザー ユーザーのアクセスキーを削除するには (コンソール)
-
AWS アカウントのメールアドレスとパスワードを使用し、ルートユーザーとして AWS マネジメントコンソールにサインインしてください。
注記
過去に IAM ユーザー認証情報を使用してコンソールにサインインしたことがあり、そのときの情報がブラウザに記録されている場合、自分のアカウント固有のサインインページが開きます。IAM ユーザーサインインページで、AWS アカウントのルートユーザー認証情報を使用してサインインすることはできません。IAM ユーザーのサインインページが表示された場合は、ページの下部付近にある [Sign-in using root account credentials] を選択し、サインインのメインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを入力できます。
-
ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。
-
AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。
-
[アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。
-
削除するアクセスキーを見つけたら、[Actions (アクション)] 列で [Delete (削除)] を選択します。
注記
アクセスキーを削除する代わりに、非アクティブとしてマークできます。これにより、キー ID またはシークレットキーを変更することなく、後でそのキーの使用を再開できます。非アクティブになっているアクセスキーを AWS API へのリクエストで使用しようとしても、その試みはすべて失敗して、アクセス拒否の状態になります。
ルートユーザー のアクセスキーを削除するには (AWS CLI または AWS API)
以下のいずれかを使用します。
-
AWS CLI: aws iam delete-access-key
-
AWS API: DeleteAccessKey
root ユーザーのパスワードの変更
ルートユーザー のパスワードの変更については、「AWS アカウントのルートユーザーのパスワードの変更」を参照してください。ルートユーザー を変更するには、ルートユーザー 認証情報を使用してログインする必要があります。ルートユーザー としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。
