AWS アカウントのルートユーザー credentials and IAM user credentials

ユーザーには2つのタイプがあります。 AWS. あなたはアカウント所有者(ルートユーザー)、または AWS Identity and Access Management (IAM)ユーザー。rootユーザーは、 AWS アカウントが作成され、 IAM rootユーザーまたは IAM アカウントの管理者です。すべて AWS ユーザーにはセキュリティ認証情報があります。

ルートユーザー 認証情報。

アカウント所有者の資格情報により、アカウント内のすべてのリソースにフルアクセスできるようになります。を使用することはできません IAM ポリシー 明示的に拒否するには、 ルートユーザー リソースへのアクセス。使用できるのは AWS Organizations サービス制御ポリシー(SCP) 許可を制限するには、 ルートユーザー. このため、 IAM 管理者権限を持つ ユーザは、日常的な AWS タスクに を使用し、 ルートユーザー.

特定のタスクは、 AWS アカウントのルートユーザー. たとえば、 ルートユーザー アカウントを閉じることができます。必要なタスクを実行する必要がある場合は、 ルートユーザー、サインインして AWS マネジメントコンソール のEメールアドレスとパスワードを使用する ルートユーザー. 詳細については、「Tasks that require ルートユーザー credentials」を参照してください。

IAM 認証情報。

IAM では、AWS アカウントでのユーザー向けの AWS サービスとリソースへのアクセスを安全に制御できます。たとえば、管理者レベルのアクセス許可が必要な場合、IAM ユーザーを作成し、そのユーザーのフルアクセスを許可してから、認証情報を使用して AWS を操作できます。後でアクセス許可の変更または取り消しが必要になったら、その IAM ユーザーに関連付けられたポリシーを削除または変更できます。

また、AWS アカウントへのアクセスを必要とするユーザーが複数いる場合、各ユーザーに一意の認証情報を作成し、誰がどのリソースにアクセスできるかを定義できます。認証情報を共有する必要はありません。たとえば、 IAM のリソースへの読み取り専用アクセス権を持つユーザー AWS 認証情報をユーザーに配布します。

Tasks that require ルートユーザー credentials

以下を使用することをお勧めします。 IAM タスクを実行し、AWSリソースにアクセスするための適切な権限を持つユーザー. ただし、アカウントの ルートユーザー としてサインインした場合にのみ、以下に示すタスクを実行できます。

Tasks

• Change your account settings. This includes the account name, ルートユーザー password, and email address. Other account settings, such as contact information, payment currency preference, and Regions, do not require ルートユーザー credentials.

• View certain tax invoices. An IAM user with the aws-portal:ViewBilling permission can view and download VAT invoices from AWS Europe, but not AWS Inc or Amazon Internet Services Pvt. Ltd (AISPL).

• Close your AWS account.

• Restore IAM user permissions. If the only IAM administrator accidentally revokes their own permissions, you can sign in as the ルートユーザー to edit policies and restore those permissions.

• Change your AWS Support plan or Cancel your AWS Support plan. For more information, see IAM for AWS Support.

• Register as a seller in the Reserved Instance Marketplace.

• Create a CloudFront key pair.

• Configure an Amazon S3 bucket to enable MFA (multi-factor authentication) Delete.

• Edit or delete an Amazon S3 bucket policy that includes an invalid VPC ID or VPC endpoint ID.

• Sign up for GovCloud.

トラブルシューティング。

これらのタスクのいずれかを完了できない場合は、 ルートユーザー あなたのアカウントは、 AWS Organizations. 組織管理者がサービス制御ポリシー(SCP)を使用してアカウントの権限を制限した場合、 ルートユーザー 権限が影響を受ける可能性があります。詳細については、以下を参照してください。 サービス管理ポリシー の AWS Organizations ユーザーガイド.