AWS アカウントのルートユーザー 認証情報と IAM ユーザー認証情報 - AWS 全般のリファレンス

AWS アカウントのルートユーザー 認証情報と IAM ユーザー認証情報

AWS には 2 つの異なるタイプのユーザーがあります。アカウント所有者 (ルートユーザー) または AWS Identity and Access Management (IAM) ユーザーです。ルートユーザーは、AWS アカウントの作成時に作成され、IAM ユーザーは、ルートユーザーまたはアカウントの IAM 管理者によって作成されます。すべての AWS ユーザーはセキュリティ認証情報を持っています。

ルートユーザー 認証情報

アカウント所有者の認証情報によって、アカウント内のすべてのリソースへのフルアクセスが許可されます。IAM ポリシーを使用して、リソースへの ルートユーザー アクセスを明示的に拒否することはできません。AWS Organizations サービスコントロールポリシー (SCP) を使用できるのは、ルートユーザー のアクセス許可を制限する場合のみです。このため、日常的な AWS タスクに使用する管理者権限を持つ IAM ユーザーを作成し、ルートユーザー のアクセスキーをロックすることをお勧めします。

AWS アカウントのルートユーザー に制限されている特定のタスクがあります。たとえば、アカウントを解約できるのは ルートユーザー のみです。ルートユーザー を必要とするタスクを実行する必要がある場合は、ルートユーザー の E メールアドレスとパスワードを使用して AWS マネジメントコンソール にサインインします。詳細については、「ルートユーザー 認証情報が必要なタスク」を参照してください。

IAM 認証情報

IAM では、AWS アカウントでのユーザー向けの AWS サービスとリソースへのアクセスを安全に制御できます。たとえば、管理者レベルのアクセス許可が必要な場合、IAM ユーザーを作成し、そのユーザーのフルアクセスを許可してから、認証情報を使用して AWS を操作できます。後でアクセス許可の変更または取り消しが必要になったら、その IAM ユーザーに関連付けられたポリシーを削除または変更できます。

また、AWS アカウントへのアクセスを必要とするユーザーが複数いる場合、各ユーザーに一意の認証情報を作成し、誰がどのリソースにアクセスできるかを定義できます。認証情報を共有する必要はありません。たとえば、AWS アカウントの内のリソースへの読み取り専用アクセスを持つ IAM ユーザーを作成し、ユーザーにその認証情報を配布できます。

ルートユーザー 認証情報が必要なタスク

適切なアクセス許可を持つ IAM ユーザーを使用して、タスクを実行し、AWS リソースにアクセスすることをお勧めします。ただし、アカウントの ルートユーザー としてサインインした場合にのみ、以下に示すタスクを実行できます。

タスク

トラブルシューティング

ルートユーザー 認証情報を使用してこれらのタスクのいずれかを完了できない場合、お客様のアカウントは AWS Organizations の組織のメンバーである可能性があります。組織の管理者がサービスコントロールポリシー (SCP) を使用してアカウントのアクセス許可を制限した場合、ルートユーザー のアクセス許可が影響を受ける可能性があります。詳細については、AWS Organizations ユーザーガイド の「サービスコントロールポリシー」を参照してください。