AWS アカウントのルートユーザー
Amazon Web Services (AWS) アカウントを初めてを作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス許可を持つ 1 つの ID で始めます。このアイデンティティは、AWS アカウントのルートユーザーと呼ばれます。アカウントの作成に使用した E メールアドレスとパスワードを使用して、ルートユーザーとしてサインインできます。
日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことを強くお勧めします。代わりに、初期の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。ルートユーザーとしてサインインする必要があるタスクについては、「AWSルートユーザー認証情報が必要なタスク」を参照してください。日常的に使用できるように管理者の設定方法に関するチュートリアルについては、「最初の IAM 管理者のユーザーおよびユーザーグループの作成」 を参照してください。
AWS アカウント ルートユーザーアカウントのアクセスキー (アクセスキー ID とシークレットアクセスキー) は、作成、更新、無効化、削除できます。ルートユーザー パスワードを変更することもできます。AWS アカウントの 認証情報を持っていればだれでも、請求情報を含むアカウントのすべてのリソースに無制限にアクセスできます。
アクセスキーを作成するときは、アクセスキー ID とシークレットアクセスキーをセットとして作成します。アクセスキーの作成時に、AWS では、アクセスキーのシークレットアクセスキーの部分を表示およびダウンロードする機会が 1 回限り与えられます。これをダウンロードしない場合や紛失した場合は、アクセスキーを削除して新しいアクセスキーを作成できます。ルートユーザーアクセスキーは、IAM コンソール
新しく作成したアクセスキーのステータスは active になります。これは、CLI および API コール用にこのアクセスキーを使用できる状態です。IAM ユーザーごとに持つことができるアクセスキーは 2 つまでです。これは、アクセスキーを更新する場合に便利です。また、ルートユーザー に最大 2 つのアクセスキーを割り当てることもできます。アクセスキーを無効にした場合、API コールに使用することはできず、また無効なキーは制限に対してカウントされます。アクセスキーはいつでも作成したり削除したりすることができます。ただし、一度アクセスキーを削除した場合、永久に削除されて、回復することはできません。
[Security Credentials]
タスク
AWS アカウントを作成または削除する
詳細については、AWS ナレッジセンターの次の記事を参照してください。
AWS アカウントの ルートユーザーに対して MFA を有効にする
お客様のアカウントで多要素認証 (MFA) を有効にするためにセキュリティ上のベストプラクティスに従うことをお勧めします。ルートユーザーはアカウントで機密性の高い操作を実行できるため、追加の認証レイヤーを追加すると、アカウントのセキュリティを強化できます。MFA には複数のタイプがあります。MFA の有効化の詳細については、以下を参照してください。
ルートユーザーのアクセスキーの作成
のアクセスキーは、AWS Management Console や AWS プログラミングツールを使用して作成できます。
AWS アカウント ルートユーザーのアクセスキーを作成するには (コンソール)
-
[Root user] (ルートユーザー) を選択して AWS アカウント の E メールアドレスを入力し、アカウント所有者として IAM コンソール
にサインインします。次のページでパスワードを入力します。 注記 3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページ] が表示された場合、ルートユーザーの電子メールを使用してサインインする] (ページの下部にあります)を選択します。これにより、メインのサインインページに戻ります。ここから、 AWS アカウントのメールアドレスとパスワードを使用して、ルートユーザーとしてサインインできます。
-
ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。
-
AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。
-
[アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。
-
[新しいアクセスキーの作成] を選択します。この機能が無効な場合は、新しいキーを作成する前に、既存のアクセスキーのいずれかを削除する必要があります。詳細については、IAM ユーザーガイドの「IAM エンティティオブジェクトの制限」を参照してください。
シークレットアクセスキーを表示またはダウンロードできるのは今回のみであることを示す警告画面が表示されます。このキーは後で取得することはできません。
-
[アクセスキーを表示] を選択した場合は、ブラウザのウィンドウからアクセスキー ID とシークレットキーをコピーし、どこか別の場所に貼り付けることができます。
-
[キーファイルのダウンロード] を選択した場合は、アクセスキー ID とシークレットキーが含まれる
rootkey.csv
という名前のファイルを受け取ります。そのファイルをどこか安全な場所に保管します。
-
-
アクセスキーが不要になったら、そのキーを削除するか、少なくとも [有効化] を選択して非アクティブにマークすることで、悪用されないようにすることをお勧めします。
ルートユーザーのアクセスキーを作成するには (AWS CLI または AWS API)
以下のいずれかを使用します。
-
AWS CLI: aws iam create-access-key
-
AWS API: CreateAccessKey
ルートユーザーのアクセスキーの削除
AWS Management Console を使用して、ルートユーザーのアクセスキーを削除できます。
-
AWS アカウントのメールアドレスとパスワードを使用し、AWS アカウント ルートユーザーとして AWS Management Console
にサインインしてください。 注記 3 つのテキストボックスが表示される場合、以前に IAM ユーザー認証情報でコンソールにサインインしました。ブラウザでこの設定が記憶され、サインインを試みるたびにこのアカウント固有のサインインページが開く場合があります。IAM ユーザーのサインインページを使用して、アカウント所有者としてサインインすることはできません。IAM ユーザーのサインインページ] が表示された場合、ルートユーザーの電子メールを使用してサインインする] (ページの下部にあります)を選択します。これにより、メインのサインインページに戻ります。ここから、AWS のメールアドレスとパスワードを使用して、ルートユーザーとしてサインインできます。
-
ナビゲーションバーでアカウント名を選択してから、セキュリティ認証情報を選択します。
-
AWS アカウントのセキュリティ認証情報へのアクセスに関する警告が表示された場合は、[セキュリティ認証情報に進む] を選択します。
-
[アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。
-
削除するアクセスキーを見つけたら、[Actions (アクション)] 列で [Delete (削除)] を選択します。
注記 アクセスキーを削除する代わりに、非アクティブとしてマークできます。これにより、キー ID またはシークレットキーを変更することなく、後でそのキーの使用を再開できます。非アクティブになっているアクセスキーを AWS API へのリクエストで使用しようとしても、その試みはすべて失敗して、アクセス拒否の状態になります。
ルートユーザーのパスワードの変更
ルートユーザーのパスワードの変更については、「AWS アカウントのルートユーザーのパスワードの変更」を参照してください。ルートユーザーを変更するには、ルートユーザー認証情報を使用してログインする必要があります。ルートユーザーとしてサインインする必要があるタスクについては、「ルートユーザー認証情報が必要な AWS タスク」を参照してください。
ルートユーザーの認証情報の保護
AWS アカウント ルートユーザーの認証情報を保護する方法の詳細については、「ルートユーザーの認証情報を保護し、日常的なタスクには使用しない」を参照してください。
ルートユーザー所有者を転送する
ルートユーザーの所有権を移行するには、「AWS アカウントを他の人または企業に譲渡するにはどうすればよいですか?