AWS アカウントのルートユーザー
Amazon Web Services (AWS) アカウントを初めて作成する際に提供するメールアドレスとパスワードは、アカウントのすべての AWS サービスとリソースにアクセスできるルートユーザーの認証情報です。
-
ルートレベルのアクセス許可を必要とするタスクを実行する場合にのみ、ルートユーザーを使用してください。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「ルートユーザー認証情報が必要なタスク」を参照してください。
-
AWS アカウント のルートユーザーのベストプラクティスに従ってください。
-
サインインできない場合は、「AWS Management Console にサインインする」を参照してください。
Amazon Web Services (AWS) アカウントを初めてを作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは AWS アカウントルートユーザーと呼ばれ、アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスされます。
重要
日常的なタスクにはルートユーザーを使用せず、AWS アカウントのルートユーザーのベストプラクティスに従うことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「ルートユーザー認証情報が必要なタスク」を参照してください。
メンバーアカウントのルートアクセスを一元管理
認証情報を大規模に管理するのに役立つよう、AWS Organizations のメンバーアカウントのルートユーザー認証情報に対するアクセスを一元的に保護できます。AWS Organizations を有効にすると、すべての AWS アカウントを組織に統合して一元管理を実現できます。ルートアクセスを一元化すると、ルートユーザー認証情報を削除し、メンバーアカウントで次の特権タスクを実行できます。
- メンバーアカウントのルートユーザー認証情報を削除する
-
メンバーアカウントのルートアクセスを一元化したら、Organizations のメンバーアカウントからルートユーザー認証情報を削除することを選択できます。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化および削除できます。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。
- ルートユーザー認証情報を必要とする特権タスクを実行する
-
一部のタスクは、アカウントのルートユーザーとしてサインインした場合にのみ実行できます。これらの ルートユーザー認証情報が必要なタスク の一部は、管理アカウントまたは IAM の委任された管理者によって実行できます。メンバーアカウントで特権アクションを実行する方法の詳細については、「特権タスクを実行する」を参照してください。
- ルートユーザーのアカウントリカバリを有効にする
-
メンバーアカウントのルートユーザー認証情報をリカバリする必要がある場合、Organizations 管理アカウントまたは委任された管理者は、[パスワードリカバリ許可] 特権タスクを実行できます。メンバーアカウントのルートユーザーの E メール受信トレイにアクセスできるユーザーは、ルートユーザーのパスワードをリセットして、ルートユーザー認証情報をリカバリできます。ルートユーザーに対するアクセスを必要とするタスクが完了したら、ルートユーザー認証情報を削除することをお勧めします。
追加リソース
AWS ルートユーザーの詳細については、次のリソースを参照してください:
-
ルートユーザーの問題については、「ルートユーザーに関する問題をトラブルシューティングする」を参照してください。
-
Organizations でルートユーザーの E メールアドレスを一元的に管理するには、「AWS Organizations ユーザーガイド」の「Updating the root user email address for a member account」を参照してください。
ルートユーザー認証情報が必要なタスク
日常的なタスクを実行したり、AWS リソースにアクセスしたりするには、AWS IAM Identity Center で管理者ユーザーを設定することをお勧めします。ただし、アカウントのルートユーザーとしてサインインする場合にのみ、以下に示すタスクを実行できます。
AWS Organizations のメンバーアカウント全体で特権ルートユーザー認証情報の管理を簡素化するには、AWS アカウント に対する高度な特権アクセスを一元的に保護するのに役立つよう、一元化されたルートアクセスを有効にできます。メンバーアカウントのルートアクセスを一元管理 を使用すると、長期的なルートユーザー認証情報のリカバリを一元的に削除して防止し、組織内のアカウントセキュリティを改善できます。この機能を有効にすると、メンバーアカウントで次の特権タスクを実行できます。
-
ルートユーザーのアカウントリカバリを防ぐには、メンバーアカウントのルートユーザー認証情報を削除します。また、メンバーアカウントのルートユーザー認証情報をリカバリするためのパスワードのリカバリを許可することもできます。
-
すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されたバケットポリシーを削除します。
-
すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除します。
アカウント管理タスク
-
アカウントの設定を変更します。これには、アカウント名、E メールアドレス、ルートユーザーパスワード、およびルートユーザーアクセスキーが含まれます。連絡先情報、支払い通貨設定、AWS リージョンなどの他のアカウント設定では、ルートユーザー認証情報は不要です。
-
IAM ユーザーアクセス許可を更新します。唯一の IAM 管理者が自身のアクセス許可を誤って取り消した場合は、ルートユーザーとしてサインインしてポリシーを編集し、アクセス許可を復元できます。
-
詳細については、以下の各トピックを参照してください。
請求タスク
-
一部の請求タスクはルートユーザーに限定されます。詳細については、AWS Billingユーザーガイドの「AWS アカウントの管理」を参照してください。
-
特定の税金請求書を表示します。aws-portal:ViewBilling 許可を持つ IAM ユーザーは、AWS Europe から VAT 請求書を表示およびダウンロードすることができますが、AWS Inc または Amazon Internet Services Private Limited (AISPL) からはできません。
AWS GovCloud (US) タスク
-
AWS GovCloud (US) アカウントに AWS Support からのルートユーザーアクセスキーを要求します。
Amazon EC2 タスク
-
リザーブドインスタンスマーケットプレイスに出品者として登録します。
AWS KMS タスク
-
AWS Key Management Service キーが管理不能になった場合、管理者は AWS Support に連絡して再び管理可能にできます。ただし、AWS Support はルートユーザーのプライマリ電話番号に応答して、チケット OTP の確認による認可をします。
Amazon Mechanical Turk タスク
Amazon Simple Storage Service Tasks
-
すべてのプリンシパルを拒否する Amazon S3 バケットを編集または削除します
。 特権アクションを使用すると、設定ミスのあるバケットポリシーを持つ Amazon S3 バケットのロックを解除できます。詳細については、「AWS Organizations メンバーアカウントで特権タスクを実行する」を参照してください。
Amazon Simple Queue Service Task
-
すべてのプリンシパルを拒否する Amazon SQS リソースベースのポリシーを編集または削除します
。 特権アクションを使用すると、設定ミスのあるリソースベースのポリシーを持つ Amazon SQS キューのロックを解除できます。詳細については、「AWS Organizations メンバーアカウントで特権タスクを実行する」を参照してください。
関連情報
以下の記事では、ルートユーザーの操作に関するさらに詳細な情報を提供しています。