AWS アカウント ルートユーザーの認証情報と IAM ユーザーの認証情報 - AWS 全般のリファレンス

AWS アカウント ルートユーザーの認証情報と IAM ユーザーの認証情報

AWS には 2 つの異なるタイプのユーザーがあります ユーザーは、アカウント所有者 (ルートユーザー) または AWS Identity and Access Management (IAM) ユーザーのどちらかです。ルートユーザーは AWS アカウントの作成時に作成され、IAM ユーザーはアカウントのルートユーザーまたは IAM 管理者によって作成されます。すべての AWS ユーザーはセキュリティ認証情報を持っています。

ルートユーザーの認証情報

アカウント所有者の認証情報によって、アカウント内のすべてのリソースへのフルアクセスが許可されます。IAM ポリシーを使用して、リソースへのルートユーザーアクセスを明示的に拒否することはできません。AWS Organizations サービスコントロールポリシー (SCP) を使用できるのは、ルートユーザーの許可を制限する場合のみです。このため、日常的な AWS タスクに使用するための管理者許可を持つ IAM ユーザーを作成して、ルートユーザーのアクセスキーをロックすることをお勧めします。

AWS アカウント ルートユーザー限定の特定のタスクがあります。たとえば、アカウントを解約できるのはルートユーザーのみです。ルートユーザーを必要とするタスクを実行する必要がある場合は、ルートユーザーの E メールアドレスとパスワードを使用して AWS Management Console にサインインします。詳細については、「」を参照してくださいルートユーザー認証情報が必要なタスク

IAM 認証情報

IAM では、AWS アカウント内のユーザー向けの AWS のサービスとリソースへのアクセスを安全に制御できます。例えば、管理者レベルの許可が必要な場合、IAM ユーザーを作成し、そのユーザーに完全なアクセス権を付与してから、これらの認証情報を使用して AWS とやり取りできます。後でアクセス許可の変更または取り消しが必要になったら、その IAM ユーザーに関連付けられたポリシーを削除または変更できます。

また、AWS アカウントへのアクセスを必要とするユーザーが複数いる場合、各ユーザーに一意の認証情報を作成し、誰がどのリソースにアクセスできるかを定義できます。認証情報を共有する必要はありません。例えば、AWS アカウントの内のリソースへの読み取り専用のアクセス権で IAM ユーザーを作成し、ユーザーにこの認証情報を配布できます。

ルートユーザー認証情報が必要なタスク

適切な許可を持つ IAM ユーザーを使用してタスクを実行し、AWS リソースにアクセスすることをお勧めします。ただし、アカウントのルートユーザーとしてサインインする場合にのみ、以下に示すタスクを実行できます。

Tasks

Troubleshooting

ルートユーザーの認証情報を使用してこれらのタスクのいずれかを完了できない場合、お客様のアカウントは の組織のメンバーである可能性がありますAWS Organizations 組織の管理者がサービスコントロールポリシー (SCP) を使用してアカウントのアクセス許可を制限した場合、ルートユーザーのアクセス許可が影響を受ける可能性があります。詳細については、AWS Organizations ユーザーガイドの「サービスコントロールポリシー」を参照してください。