AWS アカウントのルートユーザーの認証情報と IAM ユーザーの認証情報
AWS には 2 つの異なるタイプのユーザーがあります ユーザーは、アカウント所有者 (ルートユーザー) または AWS Identity and Access Management (IAM) ユーザーのどちらかです。ルートユーザーは AWS アカウントの作成時に作成され、IAM ユーザーはアカウントのルートユーザーまたは IAM 管理者によって作成されます。すべての AWS ユーザーはセキュリティ認証情報を持っています。
ルートユーザーの認証情報
アカウント所有者の認証情報によって、アカウント内のすべてのリソースへのフルアクセスが許可されます。IAM ポリシーを使用して、リソースへのルートユーザーアクセスを明示的に拒否することはできません。AWS Organizations サービスコントロールポリシー (SCP) を使用できるのは、ルートユーザーの許可を制限する場合のみです。このため、日常的な AWS タスクに使用するための管理者許可を持つ IAM ユーザーを作成して、ルートユーザーのアクセスキーをロックすることをお勧めします。
AWS アカウントルートユーザー限定の特定のタスクがあります。たとえば、アカウントを解約できるのはルートユーザーのみです。ルートユーザーを必要とするタスクを実行する必要がある場合は、ルートユーザーの E メールアドレスとパスワードを使用して AWS Management Console にサインインします。詳細については、「」を参照してくださいルートユーザー認証情報が必要なタスク
IAM 認証情報
IAM では、AWS アカウント内のユーザー向けの AWS のサービスとリソースへのアクセスを安全に制御できます。例えば、管理者レベルの許可が必要な場合、IAM ユーザーを作成し、そのユーザーに完全なアクセス権を付与してから、これらの認証情報を使用して AWS とやり取りできます。後でアクセス許可の変更または取り消しが必要になったら、その IAM ユーザーに関連付けられたポリシーを削除または変更できます。
また、AWS アカウントへのアクセスを必要とするユーザーが複数いる場合、各ユーザーに一意の認証情報を作成し、誰がどのリソースにアクセスできるかを定義できます。認証情報を共有する必要はありません。例えば、AWS アカウントの内のリソースへの読み取り専用のアクセス権で IAM ユーザーを作成し、ユーザーにこの認証情報を配布できます。
ルートユーザー認証情報が必要なタスク
適切な許可を持つ IAM ユーザーを使用してタスクを実行し、AWS リソースにアクセスすることをお勧めします。ただし、アカウントのルートユーザーとしてサインインする場合にのみ、以下に示すタスクを実行できます。
Tasks
-
アカウントの設定を変更します。 これには、アカウント名、E メールアドレス、ルートユーザーパスワード、およびルートユーザーアクセスキーが含まれます。連絡先情報、支払い通貨設定、リージョンなどの他のアカウント設定では、ルートユーザー認証情報は不要です。
-
IAM ユーザーアクセス許可を更新します。 唯一の IAM 管理者が自身のアクセス許可を誤って取り消した場合は、ルートユーザーとしてサインインしてポリシーを編集し、アクセス許可を復元できます。
-
特定の税金請求書を表示します。aws-portal:ViewBilling 許可を持つ IAM ユーザーは、AWS 欧州から VAT 請求書を表示およびダウンロードすることができますが、AWS Inc または Amazon Internet Services Pvt. (AISPL) からは不可能です。
-
AWS サポートプランを変更
するか、AWS サポートプランをキャンセル します。詳細については、「AWS Support の IAM 」を参照してください。 -
リザーブドインスタンスマーケットプレイスに出品者として登録します。
-
無効な VPC ID または VPC エンドポイント ID が含まれている Amazon S3 バケットポリシーを編集または削除します。
Troubleshooting
ルートユーザーの認証情報を使用してこれらのタスクのいずれかを完了できない場合、お客様のアカウントは の組織のメンバーである可能性がありますAWS Organizations 組織の管理者がサービスコントロールポリシー (SCP) を使用してアカウントのアクセス許可を制限した場合、ルートユーザーのアクセス許可が影響を受ける可能性があります。詳細については、AWS Organizations ユーザーガイドの「サービスコントロールポリシー」を参照してください。
