AWS アカウントのルートユーザー 認証情報と IAM ユーザー認証情報

すべての AWS アカウントに、ルートユーザー 認証情報 (つまりアカウント所有者の認証情報) があります。これらの認証情報は、アカウント内のすべてのリソースへのフルアクセスを許可します。ルートユーザー に対するアクセスを明示的に拒否するポリシーをアカウント内で使用することはできません。組織または組織単位 (OU) のメンバーである ルートユーザー を含めて、アカウントへのアクセス許可を制限する AWS Organizations サービスコントロールポリシー (SCP) のみを使用できます。そのために、ルートユーザー アクセスキーを削除してから、AWS の日常操作用の AWS Identity and Access Management (IAM) ユーザー認証情報を作成することをお勧めします。詳細については、IAM ユーザーガイド の「AWS アカウントのルートユーザーのアクセスキーをロックする」を参照してください。

注記

AWS サポートプランの変更やアカウントの閉鎖などの特定のタスクには、AWS アカウントのルートユーザー へのアクセスが必要になる場合があります。そのような場合には、E メールとパスワードで AWS マネジメントコンソール にサインインしてください。「E メールとパスワード (ルートユーザー)」を参照してください。

ルートユーザー アクセスを必要とするタスクのリストについては、「AWS アカウントのルートユーザー 認証情報が必要な AWS タスク」を参照してください。

IAM では、AWS アカウントでのユーザー向けの AWS サービスとリソースへのアクセスを安全に制御できます。たとえば、管理者レベルのアクセス許可が必要な場合、IAM ユーザーを作成し、そのユーザーのフルアクセスを許可してから、認証情報を使用して AWS を操作できます。後でアクセス許可の変更または取り消しが必要になったら、その IAM ユーザーに関連付けられたポリシーを削除または変更できます。

また、AWS アカウントへのアクセスを必要とするユーザーが複数いる場合、各ユーザーに一意の認証情報を作成し、誰がどのリソースにアクセスできるかを定義できます。認証情報を共有する必要はありません。たとえば、AWS アカウントの内のリソースへの読み取り専用アクセスを持つ IAM ユーザーを作成し、読み取りアクセスを必要とするユーザーに、その認証情報を配布できます。

注記

IAM ユーザーに関連付けられているアクティビティやコストは、AWS アカウントの所有者に請求されます。