AWS アカウントのルートユーザー - AWS Identity and Access Management

AWS アカウントのルートユーザー

Amazon Web Services (AWS) アカウントを初めて作成する際に提供するメールアドレスとパスワードは、アカウントのすべての AWS サービスとリソースにアクセスできるルートユーザーの認証情報です。

Amazon Web Services (AWS) アカウントを初めてを作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは AWS アカウントルートユーザーと呼ばれ、アカウントの作成に使用したメールアドレスとパスワードでのサインインによりアクセスされます。

重要

日常的なタスクにはルートユーザーを使用せず、AWS アカウントのルートユーザーのベストプラクティスに従うことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「ルートユーザー認証情報が必要なタスク」を参照してください。

メンバーアカウントのルートアクセスを一元管理

認証情報を大規模に管理するのに役立つよう、AWS Organizations のメンバーアカウントのルートユーザー認証情報に対するアクセスを一元的に保護できます。AWS Organizations を有効にすると、すべての AWS アカウントを組織に統合して一元管理を実現できます。ルートアクセスを一元化すると、ルートユーザー認証情報を削除し、メンバーアカウントで次の特権タスクを実行できます。

メンバーアカウントのルートユーザー認証情報を削除する

メンバーアカウントのルートアクセスを一元化したら、Organizations のメンバーアカウントからルートユーザー認証情報を削除することを選択できます。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化および削除できます。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。

ルートユーザー認証情報を必要とする特権タスクを実行する

一部のタスクは、アカウントのルートユーザーとしてサインインした場合にのみ実行できます。これらの ルートユーザー認証情報が必要なタスク の一部は、管理アカウントまたは IAM の委任された管理者によって実行できます。メンバーアカウントで特権アクションを実行する方法の詳細については、「特権タスクを実行する」を参照してください。

ルートユーザーのアカウントリカバリを有効にする

メンバーアカウントのルートユーザー認証情報をリカバリする必要がある場合、Organizations 管理アカウントまたは委任された管理者は、[パスワードリカバリ許可] 特権タスクを実行できます。メンバーアカウントのルートユーザーの E メール受信トレイにアクセスできるユーザーは、ルートユーザーのパスワードをリセットして、ルートユーザー認証情報をリカバリできます。ルートユーザーに対するアクセスを必要とするタスクが完了したら、ルートユーザー認証情報を削除することをお勧めします。

追加リソース

AWS ルートユーザーの詳細については、次のリソースを参照してください:

ルートユーザー認証情報が必要なタスク

日常的なタスクを実行したり、AWS リソースにアクセスしたりするには、AWS IAM Identity Center で管理者ユーザーを設定することをお勧めします。ただし、アカウントのルートユーザーとしてサインインする場合にのみ、以下に示すタスクを実行できます。

AWS Organizations のメンバーアカウント全体で特権ルートユーザー認証情報の管理を簡素化するには、AWS アカウント に対する高度な特権アクセスを一元的に保護するのに役立つよう、一元化されたルートアクセスを有効にできます。メンバーアカウントのルートアクセスを一元管理 を使用すると、長期的なルートユーザー認証情報のリカバリを一元的に削除して防止し、組織内のアカウントセキュリティを改善できます。この機能を有効にすると、メンバーアカウントで次の特権タスクを実行できます。

  • ルートユーザーのアカウントリカバリを防ぐには、メンバーアカウントのルートユーザー認証情報を削除します。また、メンバーアカウントのルートユーザー認証情報をリカバリするためのパスワードのリカバリを許可することもできます。

  • すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されたバケットポリシーを削除します。

  • すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除します。

アカウント管理タスク
請求タスク
AWS GovCloud (US) タスク
Amazon EC2 タスク
AWS KMS タスク
  • AWS Key Management Service キーが管理不能になった場合、管理者は AWS Support に連絡して再び管理可能にできます。ただし、AWS Support はルートユーザーのプライマリ電話番号に応答して、チケット OTP の確認による認可をします。

Amazon Simple Storage Service Tasks
Amazon Simple Queue Service Task

以下の記事では、ルートユーザーの操作に関するさらに詳細な情報を提供しています。