AWS アカウントのルートユーザー 認証情報と IAM ユーザー認証情報
AWS には 2 つの異なるタイプのユーザーがあります。アカウント所有者 (ルートユーザー) または AWS Identity and Access Management (IAM) ユーザーです。ルートユーザーは、AWS アカウントの作成時に作成され、IAM ユーザーは、ルートユーザーまたはアカウントの IAM 管理者によって作成されます。すべての AWS ユーザーはセキュリティ認証情報を持っています。
ルートユーザー 認証情報
アカウント所有者の認証情報によって、アカウント内のすべてのリソースへのフルアクセスが許可されます。IAM ポリシーを使用して、リソースへの ルートユーザー アクセスを明示的に拒否することはできません。AWS Organizations サービスコントロールポリシー (SCP) を使用できるのは、ルートユーザー のアクセス許可を制限する場合のみです。このため、日常的な AWS タスクに使用する管理者権限を持つ IAM ユーザーを作成し、ルートユーザー のアクセスキーをロックすることをお勧めします。
AWS アカウントのルートユーザー に制限されている特定のタスクがあります。たとえば、アカウントを解約できるのは ルートユーザー のみです。ルートユーザー を必要とするタスクを実行する必要がある場合は、ルートユーザー の E メールアドレスとパスワードを使用して AWS マネジメントコンソール にサインインします。詳細については、「ルートユーザー 認証情報が必要なタスク」を参照してください。
IAM 認証情報
IAM では、AWS アカウントでのユーザー向けの AWS サービスとリソースへのアクセスを安全に制御できます。例えば、管理者レベルのアクセス許可が必要な場合は、IAM ユーザーを作成して、そのユーザーにフルアクセスを許可し、IAM 認証情報を使用して AWS を操作できます。後でアクセス許可の変更または取り消しが必要になったら、その IAM ユーザーに関連付けられたポリシーを削除または変更できます。
また、AWS アカウントへのアクセスを必要とするユーザーが複数いる場合、各ユーザーに一意の認証情報を作成し、誰がどのリソースにアクセスできるかを定義できます。認証情報を共有する必要はありません。たとえば、AWS アカウントの内のリソースへの読み取り専用アクセスを持つ IAM ユーザーを作成し、ユーザーにその認証情報を配布できます。
ルートユーザー 認証情報が必要なタスク
適切なアクセス許可を持つ IAM ユーザーを使用して、タスクを実行し、AWS リソースにアクセスすることをお勧めします。ただし、アカウントの ルートユーザー としてサインインした場合にのみ、以下に示すタスクを実行できます。
タスク
-
アカウントの設定を変更します。 これには、アカウント名、E メールアドレス、ルートユーザー パスワード、および ルートユーザー アクセスキーが含まれます。連絡先情報、支払い通貨設定、リージョンなどの他のアカウント設定では、ルートユーザー 認証情報は不要です。
-
特定の税金請求書を表示します。aws-portal:ViewBilling アクセス許可を持つ IAM ユーザーは、AWS 欧州から VAT 請求書を表示およびダウンロードすることができますが、AWS Inc または Amazon Internet Services Pvt. Ltd (AISPL) からはできません。
-
IAM ユーザーアクセス許可を復元します。 唯一の IAM 管理者が自身のアクセス許可を誤って取り消した場合は、ルートユーザー としてサインインしてポリシーを編集し、アクセス許可を復元できます。
-
AWS サポートプランを変更
するか、AWS サポートプランをキャンセル します。詳細については、「IAM for AWS のサポート 」を参照してください。 -
リザーブドインスタンスマーケットプレイスに出品者として登録します。
-
無効な VPC ID または VPC エンドポイント ID が含まれている Amazon S3 バケットポリシーを編集または削除します。
トラブルシューティング
ルートユーザー 認証情報を使用してこれらのタスクのいずれかを完了できない場合、お客様のアカウントは AWS Organizations の組織のメンバーである可能性があります。組織の管理者がサービスコントロールポリシー (SCP) を使用してアカウントのアクセス許可を制限した場合、ルートユーザー のアクセス許可が影響を受ける可能性があります。詳細については、AWS Organizations ユーザーガイド の「サービスコントロールポリシー」を参照してください。