AWS 全般のリファレンス
リファレンスガイド (Version 1.0)

認証情報の理解および取得

AWS の操作方法に応じて、異なる種類のセキュリティ認証情報を使用します。たとえば、ユーザー名とパスワードを使用して AWS マネジメントコンソール にサインインします。アクセスキーを使用して、AWS API オペレーションをプログラムで呼び出すことや、AWS CLI コマンドを使用することができます。

認証情報は、忘れたり紛失したりすると、復元できません。セキュリティ上の理由から、AWS では、パスワードやシークレットアクセスキーの取得はできず、キーペアの一部であるプライベートキーは保存されません。ただし、新しい認証情報を作成し、古い認証情報のセットを無効化または削除することができます。

注記

認証情報は、アカウントに固有です。複数の AWS アカウントへのアクセス権がある場合は、アクセスするアカウントに関連付けられている認証情報を使用してください。

AWS アカウントのルートユーザー 認証情報の取得は、IAM ユーザー認証情報の取得とは異なります。ルートユーザー 認証情報については、AWS マネジメントコンソール の [セキュリティ認証情報] ページにアクセスして、アクセスキーやキーペアなどの認証情報を取得します。IAM ユーザーの認証情報については、IAM コンソールから認証情報を取得します。

次のリストでは、AWS セキュリティ認証情報のタイプ、それらを使用するタイミング、および AWS アカウントのルートユーザー または IAM ユーザーの各認証情報タイプの取得方法について説明します。

E メールとパスワード (ルートユーザー)

Amazon Web Services (AWS) アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは AWS アカウント ルートユーザー と呼ばれ、&AWS; アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスします。

重要

強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけに ルートユーザー を使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。ルートユーザー としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

AWS アカウントの E メールアドレスとパスワードを使用し、AWS アカウントのルートユーザー として AWS マネジメントコンソール にサインインしてください。

注記

過去に IAM ユーザー認証情報を使用してコンソールにサインインしたことがあり、そのときの情報がブラウザに記録されている場合、自分のアカウント固有のサインインページが開きます。IAM ユーザーサインインページで、AWS アカウントのルートユーザー 認証情報を使用してサインインすることはできません。IAM ユーザーのサインインページが表示された場合は、ページの下部付近にある [Sign-in using ルートユーザー credentials] を選択し、サインインのメインページに戻ります。ここから、AWS アカウントのメールアドレスとパスワードを入力できます。

[Security Credentials] ページにアクセスすれば、E メールアドレスとパスワードを変更できます。AWS サインインページで [Forgot password?] を選択して、パスワードをリセットすることもできます。

IAM ユーザー名とパスワード

AWS で一意のユーザー ID を作成するには、AWS Identity and Access Management (IAM) を使用します。 IAM ユーザーは、AWS マネジメントコンソール、AWS フォーラム、または AWS サポートセンターにサインインするときに、ユーザー名とパスワードを入力します。場合によっては、Amazon Simple Email Service (Amazon SES) を使用して SMTP で E メールを送信するなどのサービスを使用するのに、IAM ユーザー名とパスワードが必要となります。

IAM ユーザーの詳細については、IAM ユーザーガイドの「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

これらを作成するときに、ユーザー名を指定します。必要に応じて、各ユーザーのパスワードを作成できます。詳細については、IAM ユーザーガイドの「IAM ユーザーのパスワードの管理」を参照してください。

注記

IAM ユーザーは、アクセス許可が与えられ得た場合に限り、自身のパスワードを管理できます。詳細については、IAM ユーザーガイドの「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

多要素認証 (MFA)

Multi-Factor Authentication (MFA) は、AWS アカウントのセキュリティをさらに強化するサービスです。セキュリティを高めるために、AWS アカウントのルートユーザー 認証情報および権限の高い IAM ユーザーに対して MFA を要求することをお勧めします。詳細については、IAM ユーザーガイドの「AWS のデバイスに 多要素認証 (MFA) を使用」を参照してください。

MFA が有効な場合、AWS ウェブサイトにサインインするときに、ユーザー名とパスワード、および MFA デバイスからの認証コードを求められます。これらを組み合わせることで、AWS アカウントの設定とリソースのセキュリティが強化されます。

デフォルトでは、MFA (multi-factor autherication) は有効になっていません。AWS マネジメントコンソール の [セキュリティ認証情報] ページまたは IAM ダッシュボードにアクセスすれば、AWS アカウントのルートユーザー の MFA デバイスを有効にして管理できます。IAM ユーザーの MFA を有効にする方法の詳細については、IAM ユーザーガイドの「MFA デバイスの有効化」を参照してください。

アクセスキー(アクセスキー ID とシークレットアクセスキー)

アクセスキーは、アクセスキー ID (例: AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) の 2 つの部分から構成されます。AWS CLI コマンド (SDK を使用) または AWS API オペレーションを使用する場合、アクセスキーを使用して、AWS に対するプログラムによるリクエストに署名できます。詳細については、「AWSAPI リクエストの署名」を参照してください。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーをしっかり管理してください。

アクセスキーを作成すると、アクセスキー ID とシークレットアクセスキーがセットで作成されます。アクセスキーの作成時に、AWS では、アクセスキーのシークレットアクセスキーの部分を表示およびダウンロードする機会が 1 回限り与えられます。これをダウンロードしない場合や紛失した場合は、アクセスキーを削除して新しいアクセスキーを作成できます。IAM ユーザーまたは ルートユーザー アクセスキーは、IAM コンソール、AWS CLI または AWS API で作成できます。IAM ユーザーのアクセスキーを作成する方法については、IAM ユーザーガイド の「IAM ユーザーのアクセスキーの管理」を参照してください。ルートユーザー のアクセスキーを作成するには、IAM ユーザーガイド の「AWS アカウントのルートユーザー のアクセスキー管理」を参照してください。強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけに ルートユーザー を使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。ルートユーザー としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

重要

正規ユーザー ID を確認するためであっても、アクセスキーをサードパーティーに提供しないでください。提供すると、第三者がアカウントへのフルアクセスを取得する場合があります。

新しく作成したアクセスキーのステータスは active になります。これは、CLI および API コール用にこのアクセスキーを使用できる状態です。IAM ユーザーごとに持つことができるアクセスキーは 2 つまでです。これは、アクセスキーを更新する場合に便利です。また、ルートユーザー に最大 2 つのアクセスキーを割り当てることもできます。アクセスキーを無効にした場合、API コールに使用することはできず、また無効なキーは制限に対してカウントされます。アクセスキーはいつでも作成したり削除したりすることができます。ただし、一度アクセスキーを削除した場合、永久に削除されて、回復することはできません。

また一時的なセキュリティ認証情報と呼ばれる、一時アクセスキーを作成して使用することもできます。一時的なセキュリティ認証情報には、アクセスキー ID とシークレットアクセスキーに加え、一時的なセキュリティ認証情報を使用するときに AWS に送信する必要があるセキュリティトークンが含まれます。一時的なセキュリティ認証情報の利点は、それらの有効期間が短期間であることです。有効期限が切れると、その後は有効にはなりません。セキュリティ保護の弱い環境では一時アクセスキーを使用するか、AWS アカウントのリソースへの一時的なアクセス権をユーザーに配布できます。たとえば、AWS アカウントのリソースへのアクセス権を、他の AWS アカウントからのエンティティに付与できます (クロスアカウントアクセス)。また、AWS セキュリティ認証情報を持たないユーザーに、AWS アカウントのリソースへのアクセス権を付与することもできます (フェデレーション)。詳細については、IAM ユーザーガイド の「一時的セキュリティ認証情報」を参照してください。プレフィックス (上記の AKIAIOSFODNN7EXAMPLE で使用した AKIA など) を含む IAM が作成する一意の ID についての詳細は、IAM ユーザーガイド の「IAM 拡張子」を参照してください。

キーペア

キーペアは、アクセスキーには関連付けられておらず、パブリックキーとプライベートキーから構成されます。プライベートキーを使用してデジタル署名を作成し、次に、AWS を使用して、対応するパブリックキーを使用し、署名を検証します。キーペアは、Amazon EC2 と Amazon CloudFront でのみ使用されます。

Amazon EC2 では、Linux インスタンスにログインするために SSH を使用する場合など、Amazon EC2 インスタンスにアクセスするためにキーペアを使用します。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Linux インスタンスへの接続」を参照してください。

Amazon CloudFront では、他のユーザーが料金を支払った制限されたコンテンツを配信する場合など、プライベートコンテンツの署名付き URL を作成するためにキーペアを使用します。詳細については、『Amazon CloudFront 開発者ガイド』の「Serving Private Content through CloudFront」を参照してください。

AWS ではお使いのアカウント用のキーペアは提供されないので、作成する必要があります。Amazon EC2 コンソール、CLI、または API から Amazon EC2 キーペアを作成できます。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「Amazon EC2 のキーペア」を参照してください。

[セキュリティ認証情報] ページから、Amazon CloudFront キーペアを作成します。AWS アカウントのルートユーザー のみ (IAM ユーザーではなく) が、CloudFront キーペアを作成できます。詳細については、『Amazon CloudFront 開発者ガイド』の「Serving Private Content through CloudFront」を参照してください。