# AWS アカウントのルートユーザー
<a name="id_root-user"></a>

Amazon Web Services (AWS) アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは、AWS アカウントの*ルートユーザー*と呼ばれます。AWS アカウント を作成するために使用したメールアドレスとパスワードは、ルートユーザーとしてサインインするために使用する認証情報です。
+ ルートレベルのアクセス許可を必要とするタスクを実行する場合にのみ、ルートユーザーを使用してください。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「[ルートユーザー認証情報が必要なタスク](#root-user-tasks)」を参照してください。
+ [AWS アカウント のルートユーザーのベストプラクティス](root-user-best-practices.md)に従ってください。
+ サインインできない場合は、「[AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)」を参照してください。

**重要**  
日常的なタスクにはルートユーザーを使用せず、[AWS アカウントのルートユーザーのベストプラクティス](root-user-best-practices.md)に従うことを強くお勧めします。ルートユーザー資格情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「[ルートユーザー認証情報が必要なタスク](#root-user-tasks)」を参照してください。

ルートユーザーにはデフォルトで MFA が適用されますが、最初のアカウント作成時またはサインイン時にプロンプトに従って MFA を追加するためには、お客様のアクションが必要です。ルートユーザーを保護するための MFA の使用の詳細については、「[AWS アカウントのルートユーザー の多要素認証](enable-mfa-for-root.md)」を参照してください。

## メンバーアカウントのルートアクセスを一元管理
<a name="id_root-user-access-management"></a>

認証情報を大規模に管理するのに役立つよう、AWS Organizations のメンバーアカウントのルートユーザー認証情報に対するアクセスを一元的に保護できます。AWS Organizations を有効にすると、すべての AWS アカウントを組織に統合して一元管理を実現できます。ルートアクセスを一元化すると、ルートユーザー認証情報を削除し、メンバーアカウントで次の特権タスクを実行できます。

**メンバーアカウントのルートユーザー認証情報を削除する**  
[メンバーアカウントのルートアクセスを一元化](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)したら、Organizations のメンバーアカウントからルートユーザー認証情報を削除することを選択できます。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化できます。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。

**ルートユーザー認証情報を必要とする特権タスクを実行する**  
一部のタスクは、アカウントのルートユーザーとしてサインインした場合にのみ実行できます。これらの [ルートユーザー認証情報が必要なタスク](#root-user-tasks) の一部は、管理アカウントまたは IAM の委任された管理者によって実行できます。メンバーアカウントで特権アクションを実行する方法の詳細については、「[特権タスクを実行する](id_root-user-privileged-task.md)」を参照してください。

**ルートユーザーのアカウントリカバリを有効にする**  
メンバーアカウントのルートユーザー認証情報をリカバリする必要がある場合、Organizations 管理アカウントまたは委任された管理者は、**[パスワードリカバリ許可]** 特権タスクを実行できます。メンバーアカウントのルートユーザーの E メール受信トレイにアクセスできるユーザーは、[ルートユーザーのパスワードをリセット](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)して、ルートユーザー認証情報をリカバリできます。ルートユーザーに対するアクセスを必要とするタスクが完了したら、ルートユーザー認証情報を削除することをお勧めします。

# メンバーアカウントのルートアクセスを一元化する
<a name="id_root-enable-root-access"></a>

ルートユーザー認証情報は、アカウント内のすべての AWS サービスとリソースに完全にアクセスできる各 AWS アカウント に割り当てられた最初の認証情報です。AWS Organizations を有効にすると、すべての AWS アカウントを組織に統合して一元管理を実現できます。各メンバーアカウントには、メンバーアカウントでアクションを実行するためのデフォルトの許可を持つ独自のルートユーザーがあります。ルートユーザー認証情報のリカバリとアクセスを大規模に防ぐために、AWS Organizations を使用して管理される AWS アカウント のルートユーザー認証情報を一元的に保護することをお勧めします。

ルートアクセスを一元化したら、組織内のメンバーアカウントからルートユーザー認証情報を削除できます。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化できます。AWS Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。メンバーアカウントは、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりできません。

**注記**  
一部の [ルートユーザー認証情報が必要なタスク](id_root-user.md#root-user-tasks) は IAM の管理アカウントまたは委任された管理者が実行できるタスクもありますが、一部のタスクはアカウントのルートユーザーとしてサインインした場合にのみ実行できます。  
これらのタスクのいずれかを実行するためにメンバーアカウントのルートユーザー認証情報を復元する必要がある場合は、[特権タスクを実行する](id_root-user-privileged-task.md) のステップに従って、**[パスワード回復を許可]**を選択します。メンバーアカウントのルートユーザーの E メール受信トレイにアクセスできるユーザーは、[ルートユーザーのパスワードをリセット](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)し、メンバーアカウントのルートユーザーにサインインする手順を実行できます。  
 ルートユーザーに対するアクセスを必要とするタスクが完了したら、ルートユーザー認証情報を削除することをお勧めします。

## 前提条件
<a name="enable-root-access-management_prerequisite"></a>

ルートアクセスを一元化する前に、次の設定でアカウントを設定する必要があります:
+ IAM アクセス許可を持っている必要があります。
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountSummary`
  + `iam:GetLoginProfile`
  + `iam:GetUser`
  + `iam:ListAccessKeys`
  + `iam:ListMFADevices`
  + `iam:ListSigningCertificates`
  + `sts:AssumeRoot`
**注記**  
メンバーアカウントのルートユーザー認証情報ステータスを監査するには、AWS Organizations メンバーアカウントで特権タスクを実行する際に許可の範囲を狭めるために [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS マネージドポリシーを使用するか、または `iam:GetAccountSummary` へのアクセス権を持つ任意のポリシーを使用できます。  
ルートユーザーの認証情報レポートを生成するには、他のポリシーで同じ出力を生成する `iam:GetAccountSummary` アクションのみが必要です。次のような個々のルートユーザーの認証情報を一覧表示または取得することも可能です。  
ルートユーザーのパスワードが存在するかどうか
ルートユーザーのアクセスキーが存在するかどうか、および最後に使用された日時
ルートユーザーが署名証明書に関連付けられているかどうか
ルートユーザーに関連付けられた MFA デバイス
統合ルートユーザーの認証情報ステータスのリスト
+ [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) で AWS アカウント を管理する必要があります。
+ 組織内でこの機能を有効にするには、次の許可が必要です:
  + `iam:EnableOrganizationsRootCredentialsManagement`
  + `iam:EnableOrganizationsRootSessions`
  + `iam:ListOrganizationsFeatures`
  + `organizations:EnableAwsServiceAccess`
  + `organizations:ListAccountsForParent`
  + `organizations:RegisterDelegatedAdministrator` 
+ 最適なコンソール機能を確保するために、次の追加のアクセス許可を有効にすることをお勧めします。
  + `organizations:DescribeAccount`
  + `organizations:DescribeOrganization`
  + `organizations:ListAWSServiceAccessForOrganization`
  + `organizations:ListDelegatedAdministrators`
  + `organizations:ListOrganizationalUnitsForParent`
  + `organizations:ListParents`
  + `organizations:ListTagsForResource`

## 一元化されたルートアクセスの有効化 (コンソール)
<a name="enable-root-access-console"></a>

**AWS マネジメントコンソール のメンバーアカウントでこの機能を有効にするには**

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. コンソールのナビゲーションペインで、**[ルートアクセス管理]** を選択し、**[有効にする]** を選択します。
**注記**  
**ルートアクセス管理が無効になっている**場合は、AWS Organizations で AWS Identity and Access Management のために信頼されたアクセスを有効にします。詳細については、「*AWS Organizations ユーザーガイド*」の「[AWS IAM と AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html)」を参照してください。

1. [有効にする機能] セクションで、有効にする機能を選択します。
   + 管理アカウントと IAM の委任された管理者がメンバーアカウントのルートユーザー認証情報の削除することを許可するには、**[ルート認証情報の管理]** を選択します。メンバーアカウントがルートユーザー認証情報を削除した後にその認証情報をリカバリできるようにするには、メンバーアカウントで特権ルートアクションを有効にする必要があります。
   + 管理アカウントと IAM の委任された管理者がルートユーザー認証情報を必要とする特定のタスクを実行することを許可するには、**[メンバーアカウントでの特権ルートアクション]** を選択します。

1. (オプション) ルートユーザーアクセスを管理し、メンバーアカウントで特権アクションを実行するための許可を持つ **[委任された管理者]** のアカウント ID を入力します。セキュリティまたは管理用のアカウントをお勧めします。

1. **[有効化]** を選択します。

## 一元化されたルートアクセスの有効化 (AWS CLI)
<a name="enable-root-access-cli"></a>

**AWS Command Line Interface (AWS CLI) からの一元的なルートアクセスを有効にするには**

1. AWS Organizations で AWS Identity and Access Management のために信頼されたアクセスをまだ有効にしていない場合は、次のコマンドを使用します: [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)。

1. 管理アカウントと委任された管理者がメンバーアカウントのルートユーザー認証情報を削除することを許可するには、次のコマンドを使用します: [aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html)。

1. 管理アカウントと委任された管理者がルートユーザー認証情報を必要とする特定のタスクを実行することを許可するには、次のコマンドを使用します: [aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)。

1. (オプション) 委任された管理者を登録するには、次のコマンドを使用します: [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)。

   次の例では、アカウント 111111111111 を、IAM サービスの委任された管理者として割り当てます。

   ```
   aws organizations register-delegated-administrator 
   --service-principal iam.amazonaws.com
   --account-id 111111111111
   ```

## 一元化されたルートアクセスの有効化 (AWS API)
<a name="enable-root-access-api"></a>

**AWS API からの一元的なルートアクセスを有効にするには**

1. AWS Organizations で AWS Identity and Access Management のために信頼されたアクセスをまだ有効にしていない場合は、次のコマンドを使用します: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)。

1. 管理アカウントと委任された管理者がメンバーアカウントのルートユーザー認証情報を削除することを許可するには、次のコマンドを使用します: [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)。

1. 管理アカウントと委任された管理者がルートユーザー認証情報を必要とする特定のタスクを実行することを許可するには、次のコマンドを使用します: [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)。

1. (オプション) 委任された管理者を登録するには、次のコマンドを使用します: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)。

## 次のステップ
<a name="enable-root-access_next-steps"></a>

組織内のメンバーアカウントの特権認証情報を一元的に保護したら、[特権タスクを実行する](id_root-user-privileged-task.md) を参照して、メンバーアカウントで特権アクションを実行します。

# AWS Organizations メンバーアカウントで特権タスクを実行する
<a name="id_root-user-privileged-task"></a>

AWS Organizations 管理アカウントと IAM の委任された管理者アカウントは、メンバーアカウントで、それ以外の場合にはルートユーザー認証情報を必要とする特権タスクを実行できます。一元化されたルートアクセスでは、これらのタスクは短期特権セッションを通じて実行されます。これらのセッションは、メンバーアカウントでルートユーザーのサインインを必要とせずに、特定の特権アクションを対象とする一時的な認証情報を提供します。

特権セッションを立ち上げると、誤って設定された Amazon S3 バケットポリシーの削除、誤って設定された Amazon SQS キューポリシーの削除、メンバーアカウントのルートユーザー認証情報の削除、メンバーアカウントのルートユーザー認証情報の再有効化を行うことができます。

**注記**  
一元化されたルートアクセスを使用するには、管理アカウントまたは委任された管理者アカウントを通じて、`sts:AssumeRoot` アクセス許可を明示的に付与されたIAM ユーザーまたはロールとしてサインインする必要があります。ルートユーザーの認証情報を使用して `sts:AssumeRoot` を呼び出すことはできません。

## 前提条件
<a name="root-user-privileged-task_prerequisite"></a>

特権セッションを立ち上げる前に、次の設定が必要です:
+ 組織内で一元的なルートアクセスを有効にしたこと。この機能を有効にするステップについては、「[メンバーアカウントのルートアクセスを一元化する](id_root-enable-root-access.md)」を参照してください。
+ 管理アカウントまたは委任された管理者アカウントに、次の許可があること: `sts:AssumeRoot`

## メンバーアカウントでの特権アクションの実行 (コンソール)
<a name="root-user-privileged-task_action-console"></a>

**AWS マネジメントコンソール のメンバーアカウントで特権アクションのセッションを立ち上げるには**

1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。

1. コンソールのナビゲーションペインで、**[ルートアクセス管理]** を選択します。

1. メンバーアカウントのリストから名前を選択し、**[特権アクションを実行]** を選択します。

1. メンバーアカウントで実行する特権アクションを選択します。
   + **[Amazon S3 バケットポリシーを削除]** を選択して、すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されているバケットポリシーを削除します。

     1. **[S3 を参照]** を選択して、メンバーアカウントが所有するバケットから名前を選択し、**[選択]** を選択します。

     1. **[バケットポリシーを削除]** を選択します。

     1. 誤って設定されたポリシーを削除した後に、Amazon S3 コンソールを使用してバケットポリシーを修正します。詳細については、「*Amazon S3 ユーザーガイド*」の「[Amazon S3 コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください。
   + すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除するには、**[Amazon SQS ポリシーを削除]** を選択します。

     1. **[SQS キュー名]** にキュー名を入力し、**[SQS ポリシーを削除]** を選択します。

     1. 誤って設定されたポリシーを削除した後に、Amazon SQS コンソールを使用してキューポリシーを修正します。詳細については、「*Amazon SQS デベロッパーガイド*」の「[Configuring an access policy in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html)」を参照してください。
   + メンバーアカウントからルートアクセスを削除するには、**[ルート認証情報を削除]** を選択します。ルートユーザー認証情報を削除すると、ルートユーザーのパスワード、アクセスキー、署名証明書が削除され、該当のメンバーアカウントの多要素認証 (MFA) が非アクティブ化されます。

     1. **[ルート認証情報を削除]** を選択します。
   + メンバーアカウントのルートユーザー認証情報をリカバリするには、**[パスワードのリカバリを許可]** を選択します。

     このオプションは、メンバーアカウントにルートユーザー認証情報がない場合にのみ使用できます。

     1. **[パスワードのリカバリを許可]** を選択します。

     1. この特権アクションを実行すると、メンバーアカウントのルートユーザーの E メール受信トレイにアクセスできるユーザーは、[ルートユーザーのパスワードをリセット](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)し、メンバーアカウントのルートユーザーにサインインできます。

## メンバーアカウントでの特権アクションの実行 (AWS CLI)
<a name="root-user-privileged-task_action-cli"></a>

**AWS Command Line Interface からメンバーアカウントで特権アクションのセッションを立ち上げるには**

1. ルートユーザーセッションを引き受けるには、次のコマンドを使用します: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html)。
**注記**  
グローバルエンドポイントは `sts:AssumeRoot` ではサポートされていません。このリクエストはリージョンレベルの AWS STS エンドポイントに送信する必要があります。詳細については、「[AWS リージョン で AWS STS を管理する](id_credentials_temp_enable-regions.md)」を参照してください。

   メンバーアカウントのために特権ルートユーザーセッションを立ち上げる際には、セッションの範囲が、セッション中に実行される特権アクションに設定されるよう、`task-policy-arn` を定義する必要があります。次のいずれかの AWS マネージドポリシーを使用して、特権セッションのアクションの範囲を設定できます。
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   管理アカウントまたは委任された管理者が特権ルートユーザーセッション中に実行できるアクションを制限するには、AWS STS 条件キー [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn) を使用できます。

    次の例では、委任された管理者がルートを引き受けて、メンバーアカウント ID *111122223333* のルートユーザー認証情報を削除します。

   ```
   aws sts assume-root \
     --target-principal 111122223333 \
     --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
     --duration-seconds 900
   ```

1. レスポンスの `SessionToken`、`AccessKeyId`、`SecretAccessKey` を使用し、メンバーアカウントで特権アクションを実行します。リクエストのユーザー名とパスワードを省略して、メンバーアカウントにデフォルト設定できます。
   + **ルートユーザー認証情報のステータスを確認します**。メンバーアカウントのルートユーザー認証情報のステータスを確認するには、次のコマンドを使用します。
     + [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
     + [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
     + [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
     + [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
   + **ルートユーザー認証情報を削除します**。ルートアクセスを削除するには、次のコマンドを使用します。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化して、ルートユーザーに対するすべてのアクセスとルートユーザーのすべてのリカバリを削除できます。
     + [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
     + [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
     + [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
     + [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
   + **Amazon S3 バケットポリシーを削除します**。すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されているバケットポリシーを読み取り、編集し、削除するには、次のコマンドを使用します。
     + [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
     + [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
     + [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
     + [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
   + **Amazon SQS ポリシーを削除します**。すべてのプリンシパルが Amazon SQS キューにアクセスすることを拒否する、Amazon Simple Queue Service のリソースベースのポリシーを表示および削除するには、次のコマンドを使用します。
     + [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
     + [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
     + [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
     + [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
   + **パスワードのリカバリを許可します**。メンバーアカウントのユーザー名を表示し、ルートユーザー認証情報をリカバリするには、次のコマンドを使用します。
     + [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
     + [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)

## メンバーアカウントでの特権アクションの実行 (AWS API)
<a name="root-user-privileged-task_action-api"></a>

**AWS API からメンバーアカウントで特権アクションのセッションを立ち上げるには**

1. ルートユーザーセッションを引き受けるには、次のコマンドを使用します: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)。
**注記**  
グローバルエンドポイントは AssumeRoot ではサポートされていません。このリクエストはリージョンレベルの AWS STS エンドポイントに送信する必要があります。詳細については、「[AWS リージョン で AWS STS を管理する](id_credentials_temp_enable-regions.md)」を参照してください。

   メンバーアカウントのために特権ルートユーザーセッションを立ち上げる際には、セッションの範囲が、セッション中に実行される特権アクションに設定されるよう、`TaskPolicyArn` を定義する必要があります。次のいずれかの AWS マネージドポリシーを使用して、特権セッションのアクションの範囲を設定できます。
   + [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
   + [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
   + [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
   + [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
   + [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)

   管理アカウントまたは委任された管理者が特権ルートユーザーセッション中に実行できるアクションを制限するには、AWS STS 条件キー [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn) を使用できます。

   次の例では、委任された管理者は、メンバーアカウント ID *111122223333* の Amazon S3 バケットについて誤って設定されたリソースベースのポリシーを読み取り、編集し、削除するルートを引き受けます。

   ```
   https://sts.us-east-2.amazonaws.com/
     ?Version=2011-06-15
     &Action=AssumeRoot
     &TargetPrincipal=111122223333
     &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
     &DurationSeconds 900
   ```

1. レスポンスの `SessionToken`、`AccessKeyId`、`SecretAccessKey` を使用し、メンバーアカウントで特権アクションを実行します。リクエストのユーザー名とパスワードを省略して、メンバーアカウントにデフォルト設定できます。
   + **ルートユーザー認証情報のステータスを確認します**。メンバーアカウントのルートユーザー認証情報のステータスを確認するには、次のコマンドを使用します。
     + [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
     + [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
     + [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
     + [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
   + **ルートユーザー認証情報を削除します**。ルートアクセスを削除するには、次のコマンドを使用します。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化して、ルートユーザーに対するすべてのアクセスとルートユーザーのすべてのリカバリを削除できます。
     + [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
     + [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
     + [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
     + [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
   + **Amazon S3 バケットポリシーを削除します**。すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されているバケットポリシーを読み取り、編集し、削除するには、次のコマンドを使用します。
     + [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
     + [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
     + [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
     + [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
   + **Amazon SQS ポリシーを削除します**。すべてのプリンシパルが Amazon SQS キューにアクセスすることを拒否する、Amazon Simple Queue Service のリソースベースのポリシーを表示および削除するには、次のコマンドを使用します。
     + [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
     + [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
     + [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
     + [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
   + **パスワードのリカバリを許可します**。メンバーアカウントのユーザー名を表示し、ルートユーザー認証情報をリカバリするには、次のコマンドを使用します。
     + [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
     + [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)

# AWS アカウントのルートユーザー の多要素認証
<a name="enable-mfa-for-root"></a>

**重要**  
AWS では、AWS への MFA で可能な限りパスキーまたはセキュリティキーを使用することをお勧めします。これらはフィッシングなどの攻撃に対する耐性が高いためです。詳細については、「[パスキーとセキュリティキー](#passkeys-security-keys-for-root)」を参照してください。

多要素認証 (MFA) は、セキュリティを強化するためのシンプルで効果的なメカニズムです。1 つ目の要因であるパスワードは、ユーザーが記憶する秘密であり、知識要因とも呼ばれます。その他の要因としては、所有要因 (セキュリティキーなど、ユーザーが持っているもの) や継承要因 (生体認証スキャンなど、ユーザー自身のもの) があります。セキュリティを向上させるには、多要素認証 (MFA) を設定して AWS リソースを保護することを強くお勧めします。

**注記**  
すべての AWS アカウントタイプ (スタンドアロン、管理、メンバーアカウント) では、ルートユーザーに MFA を設定する必要があります。MFA がまだ有効になっていない場合、ユーザーは AWS マネジメントコンソールにアクセスする最初のサインイン試行から 35 日以内に MFA を登録する必要があります。

AWS アカウントのルートユーザー および IAM ユーザーでは、MFA を使用することができます。ルートユーザーの MFA を有効化すると、ルートユーザーの認証情報のみが影響を受けます。IAM ユーザーに対して MFA を有効にする方法の詳細については、「[IAM の AWS 多要素認証](id_credentials_mfa.md)」を参照してください。

**注記**  
AWS Organizations を使用して管理される AWS アカウントには、認証情報の復旧と大規模なアクセスを防ぐために、メンバーアカウントの[ルートアクセスを一元管理](id_root-user.md#id_root-user-access-management)するためのオプションがある場合があります。このオプションを有効にすると、パスワードや MFA などのルートユーザー認証情報をメンバーアカウントから削除して、ルートユーザーとしてのサインイン、パスワードの回復、または MFA の設定を効果的に防止できます。または、パスワードベースのサインイン方法を維持する場合は、MFA を登録してアカウントを保護し、アカウントの保護を強化します。

ルートユーザーの MFA を有効にする前に、[アカウント設定と連絡先情報を確認および更新](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)して、E メールと電話番号にアクセスできることを確認してください。MFA デバイスが紛失したり、盗難にあったり、機能しなくなったりしても、そのメールアドレスと電話番号を使用してアイデンティティを確認することで、ルートユーザーとしてサインインできます。代替の認証要素を使用してログインする方法については、「[IAM 内で MFA で保護された ID を復元する](id_credentials_mfa_lost-or-broken.md)」を参照してください｡ この機能を無効にするには、「[AWS サポート](https://console.aws.amazon.com/support/home#/)」にお問い合わせください。

AWS はルートユーザーに対して次の MFA タイプをサポートします。
+ [パスキーとセキュリティキー](#passkeys-security-keys-for-root)
+ [仮想認証アプリケーション](#virtual-auth-apps-for-root)
+ [ハードウェア TOTP トークン](#hardware-totp-token-for-root)

## パスキーとセキュリティキー
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management は MFA のパスキーとセキュリティキーをサポートします。FIDO 標準に基づいて、パスキーではパブリックキー暗号化が使用され、パスワードよりも安全性の高い、強力でフィッシング耐性のある認証が提供されます。AWS は、デバイスバインドパスキー (セキュリティキー) と同期パスキーの 2 種類のパスキーをサポートしています。
+ **セキュリティキー**: これらは YubiKey などの物理デバイスで、認証の 2 番目の要素として使用されます。1 つのセキュリティキーで、複数のルートユーザーアカウントと IAM ユーザーをサポートできます。
+ **同期パスキー**: これらは、Google、Apple、Microsoft アカウントなどのプロバイダーの認証情報マネージャー、および 1Password、Dashlane、Bitwarden などのサードパーティーサービスを 2 番目の要素として使用します。

Apple MacBook の Touch ID などの組み込みの生体認証機能を使用して、認証情報マネージャーのロックを解除し、AWS にサインインできます。パスキーは、指紋、顔、またはデバイス PIN を使用して、選択したプロバイダーで作成されます。モバイルデバイスやハードウェアセキュリティキーといったデバイスからクロスデバイス認証 (CDA) パスキーを使用して、ラップトップなどの別のデバイスにサインインすることもできます。詳細については、[「Cross-Device Authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA)」を参照してください。

デバイス間でパスキーを同期することで、AWS へのサインインが容易になり、使いやすさと回復性が向上します。パスキーとセキュリティキーの有効化の詳細については、「[ルートユーザーのパスキーまたはセキュリティキーを有効にする (コンソール）](enable-fido-mfa-for-root.md)」を参照してください。

FIDO 仕様と互換性のあるすべての [FIDO 認定製品](https://fidoalliance.org/certification/fido-certified-products/)のリストが、FIDO アライアンスから提供されています。

## 仮想認証アプリケーション
<a name="virtual-auth-apps-for-root"></a>

仮想認証アプリケーションは、電話やその他のデバイスで実行され、物理デバイスをエミュレートします。仮想認証アプリは、[タイムベースドワンタイムパスワード (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238) アルゴリズムを実装しており、単一デバイスで複数のトークンをサポートします。ユーザーは、サインイン中にプロンプトが表示されたら、デバイスから有効なコードを入力する必要があります。ユーザーに割り当てられた各トークンは一意であることが必要です。ユーザーは、別のユーザーのトークンからコードを入力して認証を受けることはできません。

ハードウェアの購入承認の待機中、またはハードウェアの到着を待つ間に、仮想 MFA デバイスを使用することをお勧めします。仮想 MFA デバイスとして使用可能なサポートされているアプリケーションのリストについては、「[多要素認証 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)」を参照してください。AWS で仮想 MFA デバイスを設定する手順については、「[ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)](enable-virt-mfa-for-root.md)」を参照してください。

## ハードウェア TOTP トークン
<a name="hardware-totp-token-for-root"></a>

ハードウェアデバイスでは、[タイムベースドワンタイムパスワード (TOTP) アルゴリズム](https://datatracker.ietf.org/doc/html/rfc6238)に基づいて 6 桁の数値コードが生成されます。サインイン時に、ユーザーはデバイスから取得した有効なコードを 2 番目のウェブページに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。ユーザーは、別のユーザーのデバイスからコードを入力して認証することはできません。サポートされているハードウェア MFA デバイスの詳細については、「[多要素認証 (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1)」を参照してください。AWS でハードウェア TOTP デバイスを設定する手順については、「[のルートユーザー (コンソール) 用にハードウェア TOTP トークンを有効にします](enable-hw-mfa-for-root.md)」を参照してください。

物理的な MFA デバイスを使用する場合は、ハードウェア TOTP デバイスの代わりに FIDO セキュリティキーを使用することをお勧めします。FIDO セキュリティキーのメリットは、バッテリーが不要でフィッシング耐性があるという点です。さらには、セキュリティを強化するために、1 台のデバイスで複数のルートユーザーと IAM ユーザーをサポートしています。

**Topics**
+ [パスキーとセキュリティキー](#passkeys-security-keys-for-root)
+ [仮想認証アプリケーション](#virtual-auth-apps-for-root)
+ [ハードウェア TOTP トークン](#hardware-totp-token-for-root)
+ [ルートユーザーのパスキーまたはセキュリティキーを有効にする (コンソール）](enable-fido-mfa-for-root.md)
+ [ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)](enable-virt-mfa-for-root.md)
+ [のルートユーザー (コンソール) 用にハードウェア TOTP トークンを有効にします](enable-hw-mfa-for-root.md)

# ルートユーザーのパスキーまたはセキュリティキーを有効にする (コンソール）
<a name="enable-fido-mfa-for-root"></a>

ルートユーザーのパスキーは、AWS CLI API や AWS API からではなく、AWS マネジメントコンソール からのみ設定して有効にできます。<a name="enable_fido_root"></a>

**ルートユーザーのパスキーまたはセキュリティキーを有効にするには (コンソール)**

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。

   手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。

1. ナビゲーションバーの右側で、使用するアカウント名を選択してから、**[Security credentials]** (セキュリティ認証情報) を選択します。  
![\[ナビゲーションメニューのセキュリティ認証情報\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. ルートユーザーの **[セキュリティ認証情報]** ページの **[多要素認証 (MFA)]** で、**[MFA デバイスの割り当て]** を選択します。

1. **[MFA デバイス名]** ページで、**[デバイス名]** を入力し、**[パスキーまたはセキュリティキー]** を選択し、**[次へ]** を選択します。

1. **[デバイスの設定]** で、パスキーを設定します。顔や指紋などの生体認証データを使用、デバイス PIN を使用、またはコンピュータの USB ポートに FIDO セキュリティキーを挿入してタップすることで、パスキーを作成します。

1. ブラウザの指示に従って、パスキープロバイダーを選択するか、デバイス全体で使用するパスキーを保存する場所を選択します。

1. [**続行**] をクリックしてください。

これで、AWS で使用するパスキーが登録されました。次回にルートユーザーの認証情報を使用してサインインするときは、パスキーで認証してサインインプロセスを完了する必要があります。

FIDO セキュリティキーに関する問題のトラブルシューティングについては、「[FIDO セキュリティキーをトラブルシューティングする](troubleshoot_mfa-fido.md)」を参照してください。

# ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)
<a name="enable-virt-mfa-for-root"></a>

AWS マネジメントコンソール を使用して、仮想 MFA デバイスをルートユーザーが使用できるように設定して有効化することができます。AWS アカウント の MFA デバイスを有効にするには、ルートユーザー認証情報を使用して AWS にサインインしている必要があります。

**仮想 MFA デバイスを設定および有効化してルートユーザーで使用するには (コンソール)**

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。

   手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。

1. ナビゲーションバーの右側で、使用するアカウント名を選択してから、**[Security credentials]** (セキュリティ認証情報) を選択します。  
![\[ナビゲーションメニューのセキュリティ認証情報\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. **[Multi-Factor Authentication(MFA)]** (多要素認証 (MFA)) セクションで、**[Assign MFA device]** (MFA デバイスの割り当て) を選択します。

1. ウィザードで **[デバイス名]** を入力し、**[認証アプリ]**、**[次へ]** の順に選択します。

   IAM が QR コードを含む仮想 MFA デバイスの設定情報を生成して表示します。図は、QR コードに対応していないデバイスでの手動入力に利用できるシークレット設定キーを示しています。

1. デバイスで仮想 MFA アプリを開きます。

   仮想 MFA アプリが複数の仮想 MFA デバイスまたはアカウントをサポートしている場合は、新しい仮想 MFA デバイスまたはアカウントを作成するオプションを選択します。

1. QR コードをスキャンするアプリを使用してアプリを設定するのが最も簡単な方法です。QR コードに対応していない場合には、設定情報を手入力します。IAM によって生成された QR コードやシークレット設定キーはお客様の AWS アカウント に紐付けられており、別のアカウントでは使用できません。ただし、元の MFA デバイスが利用できなくなった場合に、これらの情報を再利用してアカウントの新しい MFA デバイスを設定できます。
   + QR コードを使用して仮想 MFA デバイスを設定するには、ウィザードで [**Show QR code (QR コードの表示)**] を選択します。その後、アプリの指示に従ってコードをスキャンします。例えば、カメラアイコンや [**Scan account barcode**] のようなコマンドを選択し、デバイスのカメラを使用してコードを QR スキャンする場合があります。
   + **[Set up device]** (デバイスの設定) ウィザードで、**[Show secret key]** (シークレットキーの表示) を選択し、その後、MFA アプリにシークレットキーを入力します。
**重要**  
QR コードまたはシークレット設定キーの安全なバックアップを作成するか、アカウント用に複数の MFA デバイスを有効にしていることを確認します。AWS アカウントのルートユーザー および IAM ユーザーに対し、「[現在サポートされている MFA タイプ](https://aws.amazon.com/iam/features/mfa/)」の任意の組み合わせで、最大 **8** 台の MFA デバイスを登録できます。例えば、仮想 MFA デバイスがホストされているスマートフォンを紛失した場合などは、仮想 MFA デバイスが使用できなくなる可能性があります。そのような場合で、ユーザーにアタッチされた他の MFA デバイスや、[ルートユーザー MFA デバイスの回復](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken) を使用してもアカウントにサインインできない場合は、アカウントへのサインインが不能になるので、[カスタマー サービスに連絡](https://support.aws.amazon.com/#/contacts/aws-mfa-support)して MFA によるアカウントの保護を解除する必要があります。

   デバイスは 6 桁の数字の生成を開始します。

1. ウィザードの **[MFA Code 1]** (MFA コード 1) ボックスに、仮想 MFA デバイスに現在表示されているワンタイムパスワードを入力します。デバイスが新しいワンタイムパススワードを生成するまで待ちます (最長 30 秒)。生成されたら [**MFA code 2 (MFA コード 2)**] ボックスに 2 つ目のワンタイムパススワードを入力します。**[Add MFA]** (MFA を追加) を選択します。
**重要**  
コードを生成したら、即時にリクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されません。これは、タイムベースドワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、[デバイスの再同期](id_credentials_mfa_sync.md)ができます。

デバイスを AWS で使用する準備が整いました。AWS マネジメントコンソールでの MFA 利用の詳細については、「[MFA 対応のサインイン](console_sign-in-mfa.md)」を参照してください。

# のルートユーザー (コンソール) 用にハードウェア TOTP トークンを有効にします
<a name="enable-hw-mfa-for-root"></a>

ルートユーザーの物理的な MFA デバイスは、AWS CLI または AWS API からではなく、AWS マネジメントコンソール からのみ設定して有効にすることができます。

**注記**  
他のテキスト (例: **MFA を使用してサインイン** や **認証デバイスのトラブルシューティング**) が表示される場合があります。ただし、提供されている機能は同じです。いずれの場合も、認証の代替要因を使用してアカウントの E メールアドレスと電話番号を確認できない場合は、MFA 設定の削除について [AWS サポート](https://aws.amazon.com/forms/aws-mfa-support) にお問い合わせください。<a name="enable_physical_root"></a>

**ルートユーザーのハードウェア TOTP トークンを有効にするには (コンソール)**

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。

   手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。

1. ナビゲーションバーの右側で、使用するアカウント名を選択してから、**[Security credentials]** (セキュリティ認証情報) を選択します。  
![\[ナビゲーションメニューのセキュリティ認証情報\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. [**Multi-factor authentication (MFA)**] セクションを展開します。

1. **[Assign MFA device]** (MFA デバイスの割り当て) を選択します。

1. ウィザード内で **[Device name]** (デバイス名) に入力した後、**[Hardware TOTP token]** (ハードウェア TOTP トークン)、**[Next]** (次へ) の順に選択します。

1. [**シリアル番号**] ボックスに MFA デバイス背面に表示されているシリアル番号を入力します。

1. MFA デバイスに表示されている 6 桁の数字を [**MFA code 1 (MFA コード 1)**] に入力します。デバイス前面のボタンを押して数字を表示する場合があります。  
![\[IAM ダッシュボード、MFA デバイス\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/images/MFADevice.png)

1. デバイスがコードを更新するまで 30 秒ほど待ち、更新後に表示された 6 桁の数字を [**MFA code 2 (MFA コード 2)**] に入力します。デバイス前面のボタンを再度押して新しい数字を表示する場合があります。

1. **[Add MFA]** (MFA を追加) を選択します。これで、MFA デバイスと AWS アカウント の関連付けが完了しました。
**重要**  
認証コードを生成した後すぐに、リクエストを送信します。コードを生成した後にリクエストを送信するまで時間がかかりすぎる場合、MFA デバイスはユーザーとは正常に関連付けられますが、その MFA デバイスは同期されなくなります。これは、タイムベースドワンタイムパスワード (TOTP) の有効期間が短いために起こります。その場合は、[デバイスの再同期](id_credentials_mfa_sync.md)ができます。

   次回、ルートユーザー認証情報を使ってサインインするときに、MFA デバイスのコードを入力する必要があります。

# AWS アカウントのルートユーザー のパスワードを変更する
<a name="root-user-password"></a>

[[セキュリティ認証情報]](https://console.aws.amazon.com/iam/home?#security_credential) または **[アカウント]** ページにアクセスすると、メールアドレスとパスワードを変更できます。AWS サインインページで **[Forgot password]?** (パスワードを忘れた場合) を選択して、パスワードをリセットすることもできます。

ルートユーザーのパスワードを変更するには、IAM ユーザーではなく、AWS アカウントのルートユーザー としてサインインする必要があります。ルートユーザーパスワードを*忘れた*場合にそれをリセットする方法については、「[紛失または忘れたルートユーザーのパスワードをリセットする](reset-root-password.md)」を参照してください。

パスワードを保護するには、次のベストプラクティスに従う必要があります。
+ パスワードを定期的に変更します。
+ パスワードを知っているユーザーがアカウントにアクセスできるので、パスワードはプライベートに保ちます。
+ AWS では、他のサイトで使用しているものとは異なるパスワードを使用します。
+ 安易に想像できるパスワードは使用しないでください。例えば、`secret`、`password`、`amazon`、`123456` などのパスワードです。また、辞書に載っている単語や氏名、メールアドレスまたはその他の簡単に入手できる個人情報なども含みます。

**重要**  
AWS Organizations を使用した AWS アカウント の管理により、メンバーアカウントのために[一元的なルートアクセス](id_root-user.md#id_root-user-access-management)が有効になる場合があります。これらのメンバーアカウントはルートユーザー認証情報を持っておらず、ルートユーザーとしてサインインできず、ルートユーザーのパスワードをリカバリできません。ルートユーザー認証情報を必要とするタスクを実行する必要がある場合は、管理者に問い合わせてください。

------
#### [ AWS マネジメントコンソール ]

**ルートユーザーのパスワードを変更するには**
**最小アクセス許可**  
以下の手順を実行するには、少なくとも次の IAM アクセス許可が必要です。  
追加の AWS アカウント (IAM) アクセス許可を必要としない AWS Identity and Access Management ルートユーザーとしてサインインする必要があります。IAM ユーザーまたはロールとしてこれらの手順を実行することはできません。

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。

   手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。

1. コンソールの右上隅で、アカウント名またはアカウント番号を選択し、続いて **[セキュリティ認証情報]** を選択します。

1. **[アカウント]** ページで、**[アカウント設定]** の横の **[編集]** を選択します。セキュリティ上の理由から、再認証を求められます。
**注記**  
**[編集]** オプションが表示されない場合は、アカウントのルートユーザーとしてログインしていない可能性があります。IAM ユーザーまたはロールとしてサインインしている間は、アカウント設定を変更できません。

1. **[アカウント設定の更新]** ページで、**[パスワード]**、**[編集]** の順に選択します。

1. **[パスワードの更新]** ページで、**[現在のパスワード]**、**[新しいパスワード]**、**[新しいパスワードの確認]** の各フィールドに入力します。
**重要**  
必ず強力なパスワードを選択してください。IAM ユーザー用のアカウントパスワードポリシーを設定することはできますが、このポリシーはルートユーザーには適用されません。

   AWS ではパスワードが以下の条件を満たす必要があります：
   + 8～128 文字で構成されていること。
   + 英字の大文字、英字の小文字、数字、記号 (\$1 @ \$1 \$1 % ^ & \$1 () <> [] \$1\$1 \$1 \$1\$1-=) のうち、少なくとも 3 つの文字タイプを使用する必要があります。
   + AWS アカウント アカウント名またはメールアドレスと同じでないこと。

1. **[Save changes]** (変更の保存) をクリックします。

------
#### [ AWS CLI or AWS SDK ]

このタスクは AWS CLI 内でも AWS SDK のいずれかによる API 操作でもサポートされません。このタスクは、AWS マネジメントコンソール を使用してのみ実行できます。

------

# 紛失または忘れたルートユーザーのパスワードをリセットする
<a name="reset-root-password"></a>

AWS アカウント を初めて作成したときに、E メールアドレスとパスワードを指定しました。これらは、AWS アカウントのルートユーザー 認証情報です。 パスワード ルートユーザーパスワードを忘れた場合は、AWS マネジメントコンソール からパスワードをリセットできます。

AWS Organizations を使用した AWS アカウント の管理により、メンバーアカウントのために[一元的なルートアクセス](id_root-user.md#id_root-user-access-management)が有効になる場合があります。これらのメンバーアカウントはルートユーザー認証情報を持っておらず、ルートユーザーとしてサインインできず、ルートユーザーのパスワードをリカバリできません。ルートユーザー認証情報を必要とするタスクを実行する必要がある場合は、管理者に問い合わせてください。

**重要**  
**AWS へのサインインに問題がある場合** ユーザーのタイプに応じて正しい [AWS サインインページ](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)が表示されていることを確認します。AWS アカウントのルートユーザー (アカウント所有者) の場合は、AWS アカウント の作成時に設定した認証情報を使用して AWS にサインインできます。IAM ユーザーの場合、アカウント管理者から AWS へのサインインに使用可能な認証情報をもらうことができます。サポートをリクエストする必要がある場合、このページのフィードバックリンクは使用しないでください。このフォームは AWS サポートではなく、サポート ドキュメントチームに送信されます。代わりに、「[お問い合わせ](https://aws.amazon.com/contact-us/)」ページで **[AWS アカウントにまだログインできない]** を選択してから、表示されているサポートオプションのいずれかを選択します。

**ルートユーザーパスワードをリセットするには**

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。

   手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。
**注記**  
 *IAM ユーザー*認証情報を使用して [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインしている場合、ルートユーザーパスワードをリセットするには、まずサインアウトする必要があります。アカウント固有の IAM ユーザーのサインインページが表示された場合は、ページの下部付近にある ** ルートアカウントの認証情報を使用してサインインする** を選択します。必要に応じて、アカウントの E メールアドレスを指定し、[**次へ**] を選択して [**ルートuser sign in (ルートユーザーサインイン)**] ページにアクセスします。

1. [**パスワードを忘れた場合**] を選択します。
**注記**  
IAM ユーザーの場合、このオプションは使用できません。**[パスワードを忘れた場合]** オプションは、ルートユーザーアカウントでのみ使用できます。IAM ユーザーの場合、忘れたパスワードをリセットするには管理者に依頼必要があります。詳細については、「[AWS アカウント のIAMユーザーパスワードを忘れてしまいました](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-iam-password)」を参照してください。AWS アクセスポータルからサインインする場合は、「[IAM アイデンティティセンターのユーザーパスワードのリセット](https://docs.aws.amazon.com/singlesignon/latest/userguide/resetpassword-accessportal.html)」を参照してください。

1. アカウントに関連付けられている E メールアドレスを入力します。次に、CAPTCHA のテキストを入力し、**[続行]** を選択します。

1. AWS アカウント に関連付けられている E メールを Amazon Web Services からのメッセージで確認します。メールは `@verify.signin.aws` で終わるアドレスから届きます。E メールの指示にしたがって操作します。アカウントに E メールが表示されない場合は、スパムフォルダを確認してください。メールにアクセスできなくなった場合は、AWS サインイン ユーザーガイドの「[自分の AWS アカウントのメールにアクセスできない](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-troubleshooting.html#credentials-not-working-console)」を参照してください。

# ルートユーザーのアクセスキーを作成する
<a name="id_root-user_manage_add-key"></a>

**警告**  
ルートユーザーのアクセスキーペアを**作成しない**ことを強くお勧めします。[ルートユーザーが必要とするタスクはごくわずか](id_root-user.md#root-user-tasks)であり、これらのタスクは通常、頻繁に実行されないため、AWS マネジメントコンソール にサインインしてルートユーザーのタスクを実行することをお勧めします。アクセスキーを作成する前に、[長期的なアクセスキーの代替案](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys)を確認してください。

お勧めしませんが、AWS Command Line Interface (AWS CLI) または、ルートユーザーの認証情報を使用した AWS SDK のいずれかの API 操作を使用してコマンドを実行できるように、ルートユーザーのアクセスキーを作成できます。アクセスキーを作成するときは、アクセスキー ID とシークレットアクセスキーをセットとして作成します。アクセスキーの作成時に、AWS では、アクセスキーのシークレットアクセスキーの部分を表示およびダウンロードする機会が 1 回限り与えられます。これをダウンロードしない場合や紛失した場合は、アクセスキーを削除して新しいアクセスキーを作成できます。ルートユーザーアクセスキーは、コンソール、AWS CLI、または AWS API で作成できます。

新しく作成したアクセスキーのステータスは *active* になります。これは、CLI および API コール用にこのアクセスキーを使用できる状態です。ルートユーザー に最大 2 つのアクセスキーを割り当てることができます。

使用していないアクセスキーは非アクティブ化する必要があります。アクセスキーが非アクティブになると、そのアクセスキーを API 呼び出しに使用することはできなくなります。非アクティブになったキーも、引き続き制限に対してカウントされます。アクセスキーはいつでも作成したり削除したりすることができます。ただし、一度アクセスキーを削除した場合、永久に削除されて、回復することはできません。

------
#### [ AWS マネジメントコンソール ]

**AWS アカウントのルートユーザー のアクセスキーを作成するには**
**最小アクセス許可**  
以下の手順を実行するには、少なくとも次の IAM アクセス許可が必要です。  
追加の AWS アカウント (IAM) アクセス許可を必要としない AWS Identity and Access Management ルートユーザーとしてサインインする必要があります。IAM ユーザーまたはロールとしてこれらの手順を実行することはできません。

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。

   手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。

1. コンソールの右上隅で、アカウント名またはアカウント番号を選択し、続いて **[セキュリティ認証情報]** を選択します。

1. [**Access keys (アクセスキー)**] セクションで、[**Create access key (アクセスキーを作成)**] を選択します。このオプションを使用できない場合は、既に最大数のアクセスキーがあります。新しいキーを作成する前に、既存のアクセスキーのいずれかを削除する必要があります。詳細については、「[IAM オブジェクトクォータ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities)」を参照してください。

1. **[ルートユーザーアクセスキーの代替方法]** ページで、セキュリティに関する推奨事項を確認してください。続行するには、チェックボックスをオンにし、**[アクセスキーの作成]** を選択します。

1. **[アクセスキーの取得]** ページに、**[アクセスキー]** の ID が表示されます。

1. **[シークレットアクセスキー]** で **[表示]** を選択し、ブラウザのウィンドウからアクセス キー ID とシークレットキーをコピーし、どこか別の安全な場所に貼り付けます。また、**[.csv ファイルをダウンロード]** を選択して、アクセスキー ID とシークレットキーが含まれる `rootkey.csv` という名前のファイルをダウンロードすることもできます。そのファイルをどこか安全な場所に保管します。

1. **[完了]** をクリックします。アクセスキーが不要になったら、悪用されることを防ぐために、[そのキーを削除するか](id_root-user_manage_delete-key.md)、少なくとも無効化することを検討してください。

------
#### [ AWS CLI & SDKs ]

**ルートユーザーのアクセスキーを作成するには**
**注記**  
ルートユーザーとして次のコマンドまたは API 操作を実行するには、アクティブなアクセスキーペアが 1 つ必要です。アクセスキーがない場合は、AWS マネジメントコンソール を使用して最初のアクセスキーを作成します。次いで、AWS CLI でその 1 つ目のアクセスキーから得た認証情報を使用して、2 つ目のアクセスキーを作成するか、アクセスキーを削除します。
+ AWS CLI: [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)  
**Example**  

  ```
  $ aws iam create-access-key
  {
      "AccessKey": {
          "UserName": "MyUserName",
          "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
          "Status": "Active",
          "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
          "CreateDate": "2021-04-08T19:30:16+00:00"
      }
  }
  ```
+ AWS API: IAM API リファレンスの [CreateAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)。

------

# ルートユーザーのアクセスキーを削除する
<a name="id_root-user_manage_delete-key"></a>

AWS マネジメントコンソール、AWS CLI または AWS API を使用して、ルートユーザーアクセスキーを削除できます。

------
#### [ AWS マネジメントコンソール ]

**ルートユーザーのアクセスキーを削除するには**
**最小アクセス許可**  
以下の手順を実行するには、少なくとも次の IAM アクセス許可が必要です。  
追加の AWS アカウント (IAM) アクセス許可を必要としない AWS Identity and Access Management ルートユーザーとしてサインインする必要があります。IAM ユーザーまたはロールとしてこれらの手順を実行することはできません。

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/)を開き、ルートユーザーの認証情報を使用してサインインします。

   手順については、「AWS サインイン ユーザーガイ」の「[ルートユーザーとして AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)」を参照してください。

1. コンソールの右上隅で、アカウント名またはアカウント番号を選択し、続いて **[セキュリティ認証情報]** を選択します。

1. **[アクセスキー]** セクションで、削除するアクセスキーを選択して、**[アクション]**、**[削除]** の順に選択します。
**注記**  
または、アクセスキーを完全に削除する代わりに **[非アクティブ化]** することもできます。これにより、キー ID またはシークレットキーを変更することなく、後でそのキーの使用を再開できます。非アクティブになっているアクセスキーを AWS API へのリクエストで使用しようとしても、その試みはすべて失敗して、アクセス拒否の状態になります。

1. **[<access key ID> を削除]** ダイアログボックスで、**[非アクティブ化]** を選択し、アクセスキー ID を入力して削除を確認したら、**[削除]** を選択します。

------
#### [ AWS CLI & SDKs ]

**ルートユーザーのアクセスキーを削除するには**
**最小アクセス許可**  
以下の手順を実行するには、少なくとも次の IAM アクセス許可が必要です。  
追加の AWS アカウント (IAM) アクセス許可を必要としない AWS Identity and Access Management ルートユーザーとしてサインインする必要があります。IAM ユーザーまたはロールとしてこれらのステップを実行することはできません。
+ AWS CLI: [aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)  
**Example**  

  ```
  $ aws iam delete-access-key \
      --access-key-id AKIAIOSFODNN7EXAMPLE
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## ルートユーザー認証情報が必要なタスク
<a name="root-user-tasks"></a>

日常的なタスクを実行したり、AWS リソースにアクセスしたりするには、[AWS IAM アイデンティティセンター で管理者ユーザーを設定](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)することをお勧めします。ただし、アカウントのルートユーザーとしてサインインする場合にのみ、以下に示すタスクを実行できます。

AWS Organizations のメンバーアカウント全体で特権ルートユーザー認証情報の管理を簡素化するには、AWS アカウント に対する高度な特権アクセスを一元的に保護するのに役立つよう、一元化されたルートアクセスを有効にできます。[メンバーアカウントのルートアクセスを一元管理](#id_root-user-access-management) を使用すると、長期的なルートユーザー認証情報のリカバリを一元的に削除して防止し、組織内のアカウントセキュリティを改善できます。この機能を有効にすると、メンバーアカウントで次の特権タスクを実行できます。
+ ルートユーザーのアカウントリカバリを防ぐには、メンバーアカウントのルートユーザー認証情報を削除します。また、メンバーアカウントのルートユーザー認証情報をリカバリするためのパスワードのリカバリを許可することもできます。
+ すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されたバケットポリシーを削除します。
+ すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除します。

**アカウント管理タスク**
+ [AWS アカウント設定を変更する。](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)AWS Organizations に属さないスタンドアロンの AWS アカウントが E メールアドレス、ルートユーザーパスワード、ルートユーザーアクセスキーを更新するには、ルート認証情報が必要です。アカウント名、連絡先情報、代替連絡先情報、支払い通貨設定、AWS リージョンなどのその他のアカウント設定については、ルートユーザー認証情報は不要です。
**注記**  
AWS Organizations (すべての機能が有効化されている場合) は、管理アカウントと委任された管理者アカウントからメンバーアカウント設定を一元的に管理するために使用できます。管理アカウントと委任された管理者アカウントの両方で承認された IAM ユーザーまたは IAM ロールは、メンバーアカウントの閉鎖や、ルート E メールアドレス、アカウント名、連絡先情報、代替連絡先情報、およびメンバーアカウントの AWS リージョンの更新を実行できます。
+ [AWS アカウントを閉鎖する。](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)AWS Organizations に属さないスタンドアロンの AWS アカウントがアカウントを閉鎖するには、ルート認証情報が必要です。AWS Organizations では、管理アカウントと委任された管理者アカウントからメンバーアカウントを一元的に閉鎖することができます。
+ [IAM ユーザーアクセス許可を更新します。](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)唯一の IAM 管理者が自身のアクセス許可を誤って取り消した場合は、ルートユーザーとしてサインインしてポリシーを編集し、アクセス許可を復元できます。

**請求タスク**
+ [請求情報とコスト管理コンソールへの IAM アクセスをアクティブにする](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate)
+ 一部の請求タスクはルートユーザーに限定されます。詳細については、AWS Billingユーザーガイドの「[AWS アカウントの管理](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html)」を参照してください。
+ 特定の税金請求書を表示します。[aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) 許可を持つ IAM ユーザーは、AWS Europe から VAT 請求書を表示およびダウンロードすることができますが、AWS Inc または Amazon Internet Services Private Limited (AISPL) からはできません。

**AWS GovCloud (US) タスク**
+ [AWS GovCloud (US) にサインアップします](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html)。
+ AWS GovCloud (US) アカウントに AWS サポート からのルートユーザーアクセスキーを要求します。

**Amazon EC2 タスク**
+ リザーブドインスタンスマーケットプレイスに[出品者として登録します](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html)。

**AWS KMS タスク**
+ AWS Key Management Service キーが管理不能になった場合、管理者は サポート に連絡して再び管理可能にできます。ただし、サポート はルートユーザーのプライマリ電話番号に応答して、チケット OTP の確認による認可をします。

**Amazon Mechanical Turk タスク**
+  [AWS アカウントを MTurk リクエスタアカウントにリンクします](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking)。

**Amazon Simple Storage Service Tasks**
+ [MFA (多要素認証)に対応するように Amazon S3 バケットを設定します](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。
+ [すべてのプリンシパルを拒否する Amazon S3 バケットを編集または削除します](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/)。

  特権アクションを使用すると、設定ミスのあるバケットポリシーを持つ Amazon S3 バケットのロックを解除できます。詳細については、「[AWS Organizations メンバーアカウントで特権タスクを実行する](id_root-user-privileged-task.md)」を参照してください。

**Amazon Simple Queue Service Task**
+ [すべてのプリンシパルを拒否する Amazon SQS リソースベースのポリシーを編集または削除します](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy)。

  特権アクションを使用すると、設定ミスのあるリソースベースのポリシーを持つ Amazon SQS キューのロックを解除できます。詳細については、「[AWS Organizations メンバーアカウントで特権タスクを実行する](id_root-user-privileged-task.md)」を参照してください。

## その他のリソース
<a name="id_root-user-resources"></a>

AWS ルートユーザーの詳細については、次のリソースを参照してください:
+ ルートユーザーの問題については、「[ルートユーザーに関する問題をトラブルシューティングする](troubleshooting_root-user.md)」を参照してください。
+ AWS Organizations のルートユーザーの E メールアドレスを一元的に管理するには、「*AWS Organizations ユーザーガイド*」の「[メンバーアカウントのルートユーザーの E メールアドレスを更新する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)」を参照してください。

以下の記事では、ルートユーザーの操作に関するさらに詳細な情報を提供しています。
+ [AWS アカウント とそのリソースを保護するためのベストプラクティスにはどのようなものがありますか?](https://repost.aws/knowledge-center/security-best-practices)
+ [ルートユーザーが使用されたことを通知する EventBridge イベントルールを作成する方法とは?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [AWS アカウントのルートユーザー アクティビティを監視して通知する](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [IAM ルートユーザーのアクティビティを監視する](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)