AWS 認証情報の理解と取得 - AWS 全般のリファレンス

AWS 認証情報の理解と取得

AWS には、 へのアクセス方法に応じて異なる種類のセキュリティ認証情報が必要です。AWSたとえば、AWS Management Console にサインインするにはユーザー名とパスワードが必要です。また、AWS をプログラムで呼び出す、または AWS Command Line Interface か AWS Tools for PowerShell を使用するにはアクセスキーが必要です。

Considerations

  • AWS アカウントに関連付けられている E メールアドレス、AWS アカウント ID、パスワード、シークレットアクセスキーは必ず安全な場所に保存してください。これらの認証情報は、忘れたり紛失したりすると、復元できません。セキュリティ上の理由から、AWS は、ユーザーまたは他のユーザーがユーザーの認証情報を取得するための手段を提供しません。

  • 日常的な AWS タスクに使用するための管理者許可を持つ IAM ユーザーを作成して、ルートユーザーのパスワードとアクセスキーをロックすることをお勧めします。ルートユーザーに制限されているタスクには、ルートユーザーのみを使用します。

  • 認証情報は、アカウントに固有です。複数の AWS アカウントにアクセスできる場合は、アカウントごとに別々の認証情報があります。

  • AWS 認証情報を第三者に提供しないでください。

コンソールのアクセス

AWS には 2 つの異なるタイプのユーザーがあります ユーザーは、アカウント所有者 (ルートユーザー) または AWS Identity and Access Management (IAM) ユーザーのどちらかです。AWS Management Console にサインインする方法は、ルートユーザーであるか IAM ユーザーであるかに応じて異なります。

ルートユーザーの E メールアドレスとパスワード

AWS アカウントを最初に作成するときは、アカウントの E メールアドレスとルートユーザーのパスワードを指定します。AWS アカウントにルートユーザーとしてサインインするには、この E メールアドレスとパスワードを入力します。ルートユーザーは、AWS Management Console にサインインし、セキュリティ認証情報ページを使用してアカウント名、E メールアドレス、およびパスワードを変更できます。ルートユーザーのパスワードを忘れた場合は、コンソールのサインインページを開き、[Forgot password? (パスワードを忘れた場合)] を選択すると、パスワードをリセットできます。

IAM ユーザー名とパスワード

IAM ユーザーは、AWS アカウント内のルートユーザーまたは IAM 管理者によって作成されます。IAM ユーザーを作成したユーザーは、アカウントのエイリアスまたは 12 桁の AWS アカウント ID のいずれか、IAM ユーザー名、および IAM ユーザーのパスワードを提供する必要があります。IAM ユーザーは、コンソールサインインページまたは次のサインイン URL を使用してサインインできます。account_id_or_alias は、提供されたアカウントエイリアスまたは AWS アカウント ID に置き換えます。

https://account_id_or_alias.signin.aws.amazon.com/console/

IAM ユーザーのパスワードを忘れた場合は、IAM 管理者またはアカウント所有者に問い合わせてください。IAM 管理者から独自の AWS 認証情報を管理する許可を付与された場合は、セキュリティ認証情報ページを使用してパスワードを定期的に変更できます。これはセキュリティのベストプラクティスです。

多要素認証(MFA)

Multi-Factor Authentication (MFA) は、AWS アカウントのセキュリティをさらに強化するサービスです。セキュリティを高めるため、 AWS アカウント ルートユーザー認証情報と、高度な特権を持つ IAM ユーザーに対して MFA を必須にすることが推奨されます。詳細については、IAM ユーザーガイドの「AWS での多要素認証 (MFA) の使用」を参照してください。

MFA が有効な場合、AWS アカウントにサインインするときに、ユーザー名とパスワード、および MFA デバイスからの認証コードを求められます。MFA を追加することで、AWS アカウントの設定とリソースのセキュリティが強化されます。

デフォルトでは、MFA (multi-factor authentication) は有効になっていません。 AWS アカウント ルートユーザーの MFA デバイスの有効化と管理は、「セキュリティ認証情報」ページ、または AWS Management Console の IAM ダッシュボードにアクセスして実行できます。IAM ユーザーの MFA を有効にする方法の詳細については、IAM ユーザーガイドEnabling MFA Devices を参照してください。

プログラムによるアクセス

AWS へのプログラムによる呼び出しを行う場合、または AWS か AWS Command Line Interface を使用する場合は、AWS Tools for PowerShell アクセスキーを指定する必要があります

アクセスキーを作成するときは、アクセスキー ID (AKIAIOSFODNN7EXAMPLE など) とシークレットアクセスキー (wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY など) をセットとして作成します。シークレットアクセスキーは、作成時にのみダウンロードできます。シークレットアクセスキーをダウンロードしない場合や紛失した場合は、新しいシークレットアクセスキーを作成する必要があります。

ユーザー (ルートユーザーまたは IAM ユーザー) ごとに最大 2 つのアクセスキーを割り当てることができます。2 つのアクセスキーを持っていると、回転させるときに便利です。アクセスキーを無効にすると、そのアクセスキーを使用することはできませんが、2 つのアクセスキーの制限にカウントされます。アクセスキーを削除すると、そのアクセスキーは永久に削除され、復元することはできませんが、新しいアクセスキーで置き換えることができます。

ルートユーザーとしてサインインしたときにアクセスキーを管理するには

  1. AWS Management Console にルートユーザーとしてサインインします。詳細については、IAM ユーザーガイドルートユーザーとして登録を参照してください。

  2. 右上のナビゲーションバーでアカウント名またはアカウント番号を選択し、続いて [セキュリティ認証情報] を選択します。

  3. [アクセスキー (アクセスキー ID とシークレットアクセスキー)] セクションを展開します。

  4. 次のいずれかを行ってください。

    • アクセスキーを作成するには、[新しいアクセスキーの作成] を選択します。すでに 2 つのアクセスキーがある場合、このボタンは無効になるため、新しいアクセスキーを作成する前に、アクセスキーを削除する必要があります。プロンプトが表示されたら、[Show Access Key (アクセスキーを表示)] または [Download Key File (キーファイルのダウンロード)] のいずれかを選択します。これはシークレットアクセスキーを保存する唯一の機会です。シークレットアクセスキーを安全な場所に保存したら、[閉じる] を選択します。

    • アクセスキーを無効にするには、[Make Inactive (無効化)] を選択します。確認を求めるメッセージが表示されたら、[Deactivate (無効化)] を選択します。非アクティブ化されたアクセスキーは、2 つのアクセスキーの制限にカウントされます。

    • アクセスキーを有効にするには、[Make Active (有効化))] を選択します。

    • 不要になったアクセスキーを削除するには、アクセスキー ID をコピーして、[Delete (削除)] を選択します。アクセスキーを削除する前に、[Deactivate (非アクティブ化)] を選択する必要があります。アクセスキーを完全に削除する前に、アクセスキーが使用されていないことを確認することをお勧めします。削除されたことを確認するには、テキスト入力フィールドにアクセスキー ID を貼り付けて、[Delete (削除)] を選択します。

IAM ユーザーとしてサインインしたときにアクセスキーを管理するには

  1. AWS Management Console に IAM ユーザーとしてサインインします。詳細については、IAM ユーザーガイドIAM ユーザーとして登録を参照してください。

  2. 右上のナビゲーションバーでユーザー名を選択し、続いて [セキュリティ認証情報] を選択します。

    ヒント

    [セキュリティ認証情報] ページが表示されない場合は、IAM ユーザーではなくフェデレーティッドユーザーとしてサインインしている可能性があります。代わりに、一時的なアクセスキーを作成して使用できます。

  3. 次のいずれかを行ってください。

    • アクセスキーを作成するには、[アクセスキーの作成] を選択します。すでに 2 つのアクセスキーがある場合、このボタンは無効になるため、新しいアクセスキーを作成する前に、アクセスキーを削除する必要があります。プロンプトが表示されたら、[Show secret access key (シークレットアクセスキーを表示する)] または [Download .csv file (.csv ファイルをダウンロードする)] を選択します。これはシークレットアクセスキーを保存する唯一の機会です。シークレットアクセスキーを安全な場所に保存したら、[閉じる] を選択します。

    • アクセスキーを無効にするには、[Make inactive (無効化)] を選択します。確認を求めるメッセージが表示されたら、[Deactivate (無効化)] を選択します。非アクティブ化されたアクセスキーは、2 つのアクセスキーの制限にカウントされます。

    • アクセスキーを有効にするには、[Make active (有効化))] を選択します。確認を求めるメッセージが表示されたら、[Make active (起動する)] を選択します。

    • 不要になったアクセスキーを削除するには、アクセスキー ID をコピーして、[Delete (削除)] を選択します。これにより、アクセスキーが無効になります。アクセスキーを完全に削除する前に、アクセスキーが使用されていないことを確認することをお勧めします。削除されたことを確認するには、テキスト入力フィールドにアクセスキー ID を貼り付けて、[Delete (削除)] を選択します。

一時的なアクセスキー

また一時的なセキュリティ認証情報と呼ばれる、一時的なアクセスキーを作成して使用することもできます。一時的なセキュリティ認証情報には、アクセスキー ID とシークレットアクセスキーに加え、一時的なセキュリティ認証情報を使用するときに AWS に送信する必要があるセキュリティトークンが含まれます。一時的なセキュリティ認証情報の利点は、それらの有効期間が短期間であることです。有効期限が切れると、その後は有効にはなりません。セキュリティ保護の弱い環境では一時アクセスキーを使用するか、AWS アカウントのリソースへの一時的なアクセス権をユーザーに配布できます。たとえば、AWS アカウントのリソースへのアクセス権を、他の AWS アカウントからのエンティティに付与できます (クロスアカウントアクセス)。また、AWS セキュリティ認証情報を持たないユーザーに、AWS アカウントのリソースへのアクセス権を付与することもできます (フェデレーション)。詳細については、「」を参照してください。aws sts assume-role