AWSアカウントのルートユーザーとは AWSアカウントのルートユーザーとは、AWSアカウントを作成した時に用意したEメールアドレスとパスワードを使用してサインインできるアカウントです。 またルートユーザーは、請求情報など支払いに関連したものも含めた、AWSの全てのサービスとリソースに対して無制限にアクセス可能で、解約などの契約変更も実行可能です。 AWSでは、このルートユーザーを日常の業務で使用するべきではないとしており、管理者として作業する場合も、必要な権限を付与したIAMユーザーを使用することを強く推奨しています。したがって、ルートユーザーの役割は最初のIAMユーザーの作成のみに限定されるべきです。 以降の項目では、ルートユーザーの安全を確保するためにやっておくべきことや、ルートユーザーの代替となる、管理用のIAMユーザーの作成方法などを紹介していきます。

ルートユーザーのパスワードを変更する

• 文字数は8～128文字
• 大文字、小文字、数字、特殊文字が全て含まれる
• AWSアカウント名・Eメールアドレスと一致しない

• ルートユーザーでAWSマネージメントコンソールにサインインします。
• 画面右上のアカウント名またはアカウント番号を選択し、「マイアカウント」をクリックします。
• 「アカウント設定」セクションの編集リンクをクリックします。
• パスワード変更ページで「Password」行の「Edit」をクリックします。
• 「Current password」に現在のパスワードを、「New password」と「Reenter new password」に新しいパスワードを入力して、「Save changes」をクリックします。
• 「Success」と表示されればパスワード変更は完了です。

ルートユーザーの多要素認証（MFA）を有効にする

• 事前準備として、多要素認証用のトークンソフト「Google Authenticator」をスマートフォンにインストールしておきます。
• ルートユーザーでAWSマネージメントコンソールにサインインします。
• 画面右上のアカウント名またはアカウント番号を選択し、「マイセキュリティ資格情報」をクリックします。
• 「多要素認証（MFA）」セクションを開き、「MFAの有効化」をクリックします。
• 「仮想 MFA デバイス」を選択し、続行をクリックします。
• 「QRコードを表示する」リンクをクリックします。
• 表示されたQRコードを「Google Authenticator」で読み取ります。
• 「Google Authenticator」で生成された6桁の数字をMFAコード1に入力します。
• 「Google Authenticator」は30秒ごとに数字を生成するので、30秒待って新しく生成された数字をMFAコード2に入力します。
• 2つのMFAコードを入力したら「MFA割り当て」をクリックします。
• 「仮想MFAが正常に割り当てられました」と表示されれば、MFA有効化は完了です。

ルートユーザーのアクセスキーは作成しない

• 画面右上のアカウント名またはアカウント番号を選択し、「マイセキュリティ資格情報」をクリックします。
• 「アクセスキー（アクセスキーIDとシークレットアクセスキー）」セクションを開きます。
• 削除するアクセスキーの「アクション」の「削除」リンクをクリックします。
• 該当するアクセスキーの「ステータス」が削除済みになれば削除完了です。

ルートユーザーの代替となる管理者用のIAMユーザーを作成する

• ルートユーザーでAWSマネージメントコンソールにサインインして、IAMダッシュボードを開きます。
• 「新しいグループの作成」をクリックします。
• 「グループ名」にグループ名（ここでは「Administrator」を推奨）を入力し、「次のステップ」をクリックします。
• 「ポリシーのアタッチ」で、「AdministratorAccess」にチェックを入れ、「次のステップ」をクリックします。
• 設定内容を確認して、「グループの作成」をクリックします。

• ナビゲーションペインから「ユーザー」をクリックします。
• 「ユーザー追加」をクリックします。
• 「アクセスの種類」は「AWSマネージメントコンソールへのアクセス」を選択します。
• 「コンソールのパスワード」では「カスタムパスワード」を選択して、任意のパスワードを入力し、「次のステップ：アクセス権限」をクリックします。
• 「Administrator」グループを選択して、「次のステップ：タグ」をクリックします。
• タグの設定は特に必要ないので、「次のステップ：確認」をクリックします。
• 設定内容を確認して、「ユーザーの作成」をクリックします。
• ユーザーが作成できたら、完了ページが表示されますので、ユーザーのログイン情報が記載されたCSVファイルを必ずダウンロードしておきましょう。

IAMユーザーで請求情報にアクセスできるようにする

• ルートユーザーでAWSマネージメントコンソールにサインインします。
• 画面右上のアカウント名またはアカウント番号を選択し、「マイアカウント」をクリックします。
• 「IAMユーザー／ロールによる請求情報へのアクセス」セクションの「編集」をクリックします。
• 「IAMアクセスのアクティブ化」にチェックを入れてから「更新」をクリックします。
• 「IAMユーザー／ロールによる請求情報へのアクセスは有効になっています。」と表示されていれば有効化は完了です。

• IAMダッシュボードを開きます。
• ナビゲーションペインから「ポリシー」をクリックします。
• 「ポリシーの作成」をクリックします。
• 「ビジュアルエディタ」タブの「サービスの選択」の検索欄に「Bill」と入力して、「Billing」をクリックします。
• 「すべてのBillingアクション」にチェックを入れ、「ポリシーの確認」をクリックします。
• 「名前」に「BillingFullAccess」と入力して、「ポリシーの作成」をクリックします。
• 「BillingFullAccessが作成されました。」と表示されたら請求情報へのフルアクセスポリシーの作成は完了です。
• 再度「ポリシーの作成」をクリックします。
• 「ビジュアルエディタ」タブの「サービスの選択」の検索欄に「Bill」と入力して、「Billing」をクリックします。
• 「アクセスレベル」の「読み込み」にチェックを入れ、「ポリシーの確認」をクリックします。
• 「名前」に「BillingViewAccess」と入力して、「ポリシーの作成」をクリックします。
• 「BillingViewAccessが作成されました。」と表示されたら請求情報への読み取り専用ポリシーの作成は完了です。
• 前述の「IAMグループの作成手順」を参考に、フルアクセスポリシーを持つグループと読み取り専用ポリシーを持つグループを作成します。
• 「IAMユーザーの作成手順」を参考に、作成したグループを任意のIAMユーザーにアタッチすれば、請求情報へアクセスできるIAMユーザーを作成できます。

この記事の監修者・著者

株式会社オープンアップITエンジニアAWSパートナー/Salesforce認定コンサルティングパートナー 認定企業

ITエンジニア派遣サービス事業を行っています。AWSやSalesforceなど専門領域に特化したITエンジニアが4,715名在籍し、常時100名以上のITエンジニアの即日派遣が可能です。

・2021年：AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
・2022年3月：人材サービス型 AWSパートナー認定
・AWS認定資格保有者数1,154名（2024年6月現在）
・Salesforce認定コンサルティングパートナー
・Salesforce認定資格者276名在籍（2024年5月現在）
・LPIC＋CCNA 認定資格者：472 名（2024年6月時点）

最新の投稿

• 2024-12-27営業インタビュー情報共有の活性化の中心に。SP企画部の新たな取り組み
• 2024-07-01営業インタビュー最短で当日にご提案可能。 OPE営業の対応が早い3つの理由
• 2024-07-01営業インタビュー研修見学ツアーが高評価！「お客様のOPEに対する期待を高め、継続に貢献できればと思います。」
• 2024-07-01営業インタビュー信頼関係を構築し、エンジニアの長期就業へ