AWS アカウント ルートユーザー - AWS Identity and Access Management

AWS アカウント ルートユーザー

Amazon Web Services (AWS) アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは、AWS アカウントのルートユーザーと呼ばれます。アカウントの作成に使用した E メールアドレスとパスワードを使用して、root ユーザーとしてサインインできます。

重要

強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、root ユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。ルートユーザーとしてサインインする必要があるタスクについては、「AWSルートユーザーを必要とするタスク」を参照してください。日常的に使用する管理者のセットアップ方法のチュートリアルについては、「最初の IAM 管理者ユーザーおよびユーザーグループの作成」を参照してください。

AWS アカウント ルートユーザー のアクセスキー (アクセスキー ID とシークレットアクセスキー) は、作成、更新、無効化、または削除できます。ルートユーザー パスワードを変更することもできます。AWS アカウントの ルートユーザー 認証情報を持っていればだれでも、請求情報を含むアカウントのすべてのリソースに無制限にアクセスできます。

アクセスキーを作成するときは、アクセスキー ID とシークレットアクセスキーをセットとして作成します。アクセスキーの作成時に、AWS では、アクセスキーのシークレットアクセスキーの部分を表示およびダウンロードする機会が 1 回限り与えられます。これをダウンロードしない場合や紛失した場合は、アクセスキーを削除して新しいアクセスキーを作成できます。ルートユーザー ユーザーアクセスキーは、IAM コンソール、AWS CLI、または AWS API で作成できます。

新しく作成したアクセスキーのステータスは active になります。これは、CLI および API コール用にこのアクセスキーを使用できる状態です。IAM ユーザーごとに持つことができるアクセスキーは 2 つまでです。これは、アクセスキーを更新する場合に便利です。また、ルートユーザー に最大 2 つのアクセスキーを割り当てることもできます。アクセスキーを無効にした場合、API コールに使用することはできず、また無効なキーは制限に対してカウントされます。アクセスキーはいつでも作成したり削除したりすることができます。ただし、一度アクセスキーを削除した場合、永久に削除されて、回復することはできません。

[Security Credentials] ページにアクセスすれば、E メールアドレスとパスワードを変更できます。AWS サインインページで [Forgot password?] を選択して、パスワードをリセットすることもできます。

AWS アカウントを作成または削除する

詳細については、AWS ナレッジセンターの次の記事を参照してください。

AWS アカウント ルートユーザー に対して MFA を有効化

ルートユーザー 認証情報を引き続き使用する場合は、お客様のアカウントで多要素認証 (MFA) を有効にするセキュリティ上のベストプラクティスに従うことをお勧めします。ルートユーザー はアカウントで機密性の高い操作を実行できるため、追加の認証レイヤーを追加すると、アカウントのセキュリティを強化できます。MFA には複数のタイプがあります。MFA の有効化の詳細については、以下を参照してください。

ルートユーザー のアクセスキーの作成

ルートユーザー のアクセスキーは、AWS Management Console や AWS プログラミングツールを使用して作成できます。

AWS アカウント ルートユーザー のアクセスキーを作成するには (コンソール)

  1. ルートユーザー を選択し AWS アカウント の E メールアドレスを入力して、アカウントの所有者として IAM コンソールにサインインします。次のページでパスワードを入力します。

    注記

    3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページが表示されたら、ページの下部にある [Sign in using ルートユーザー email (ルートユーザー の E メールを使用してサインイン)] を選択します。これにより、メインのサインインページに戻ります。ここから、 AWS アカウント の E メールアドレスとパスワードを使用して、ルートユーザー としてサインインできます。

  2. ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。

  3. AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。

  4. [アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。

  5. [新しいアクセスキーの作成] を選択します。この機能が無効な場合は、新しいキーを作成する前に、既存のアクセスキーのいずれかを削除する必要があります。詳細については、IAM ユーザーガイド の「IAM エンティティオブジェクトの制限」を参照してください。

    シークレットアクセスキーを表示またはダウンロードできるのは今回のみであることを示す警告画面が表示されます。このキーは後で取得することはできません。

    • [アクセスキーを表示] を選択した場合は、ブラウザーのウィンドウからアクセスキー ID とシークレットキーをコピーし、どこか別の場所に貼り付けることができます。

    • [キーファイルのダウンロード] を選択した場合は、アクセスキー ID とシークレットキーが含まれる rootkey.csv という名前のファイルを受け取ります。そのファイルをどこか安全な場所に保管します。

  6. アクセスキーが不要になったら、そのキーを削除するか、少なくとも [有効化] を選択して非アクティブにマークすることで、悪用されないようにすることをお勧めします。

ルートユーザー のアクセスキーを作成するには (AWS CLI または AWS API)

以下のいずれかを使用します。

ルートユーザー のアクセスキーの削除

AWS Management Console を使用して、ルートユーザー のアクセスキーを削除できます。

  1. AWS アカウントの E メールアドレスとパスワードを使用し、 AWS アカウント ルートユーザー として AWS Management Console にサインインしてください。

    注記

    3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページが表示されたら、ページの下部にある [Sign in using ルートユーザー email (ルートユーザー の E メールを使用してサインイン)] を選択します。これにより、メインのサインインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを使用して、ルートユーザー としてサインインできます。

  2. ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。

  3. AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。

  4. [アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。

  5. 削除するアクセスキーを見つけたら、[Actions (アクション)] 列で [Delete (削除)] を選択します。

    注記

    アクセスキーを削除する代わりに、非アクティブとしてマークできます。これにより、キー ID またはシークレットキーを変更することなく、後でそのキーの使用を再開できます。非アクティブになっているアクセスキーを AWS API へのリクエストで使用しようとしても、その試みはすべて失敗して、アクセス拒否の状態になります。

ルートユーザー のパスワードの変更

ルートユーザー のパスワードの変更については、「AWS アカウントのルートユーザーのパスワードの変更」を参照してください。ルートユーザー を変更するには、ルートユーザー 認証情報を使用してログインする必要があります。ルートユーザー としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

ルートユーザー の認証情報の保護

AWS アカウント ルートユーザーの認証情報を保護する方法の詳細については、「 AWS アカウント ルートユーザー アクセスキーをロックする」を参照してください。

ルートユーザー オーナーの譲渡

ルートユーザー の所有権を譲渡するには、自分の AWS アカウントを別の個人または組織に譲渡するには、どうすれば良いでしょうか? を参照してください。