AWSとは？

AWSとは、Amazon Web Serviceの略で、Amazonが提供しているクラウドコンピューティングサービスです。クラウドコンピューティングサービスとは、インターネット経由でITインフラを提供するサービスのことです。

日本のIT業界では、ITインフラの自社運用型のオンプレミスから、クラウドサービスへの移行が進んでいます。AWSは、ITインフラの構築やセキュリティ対策などを全てAmazonに任せられるため、必要なときにすぐ利用できる手軽さもあるサービスです。

クラウドサービスには、Microsoft AzureやGoogle Cloud Platformなど、数多くあります。その中でも、AWSは世界中で高いシェア率を獲得しています。これから、日本はクラウドサービスへの移行を進めていく中、AWSは高いシェア率を維持していくでしょう。

AWSルートユーザーとは？

AWSのルートユーザーとは、初めて作成するAWSアカウントで、すべてのAWSサービスにアクセス権限を持つユーザーのことです。

ルートユーザーは、AWSアカウントの作成に使用したEメールアドレスとパスワードを使用してログインできます。AWSアカウントのルートユーザーのみ許可されている特定の操作や設定があります。

例えば、AWSアカウントの解約ができるのはAWSアカウントのルートユーザーに限られています。

AWSのIAMとは？

IAMとは、Identity and Access Managementの略で、AWSサービスへのアクセスを管理するためのサービスです。

AWSでは、IAMユーザーを作成して、各AWSサービスへのアクセス許可を与えたり、アクセス制限したりと、多様にユーザーを管理できます。

AWSでは、日常的な作業は、管理者であっても、ルートユーザーを使用しないことを推奨しています。セキュリティの観点からも、個々にIAMユーザーを作成し、そのIAMユーザーでログインした方が良いということです。

例えば、個別のIAMユーザーを作成することで、IAMユーザーそれぞれに認証情報を設定することもできます。また、各IAMユーザーをグループ化して、アクセス権限を付与することもできます。IAMユーザーのアクセス許可は、いつでも無効にも変更することもできるのです。

AWSアカウントのルートユーザーしかできないことは？

AWSアカウントのルートユーザーしかできないことは、アカウントの設定変更や解約などがあります。

例えば、アカウント名、Eメールアドレス、パスワード、ルートユーザーのアクセスキーなどの変更です。ですが、連絡先情報、支払い設定、リージョンなど、他のアカウント設定では、ルートユーザー認証情報は不要です。

また、IAMユーザーが自分のアクセス許可を誤って取り消した場合でも、ルートユーザーであれば、ポリシーを編集し、アクセス許可を復元できます。

他にも、ルートユーザーのみ許される操作は、アカウントの解約、サポートプランの変更、Amazon S3バケットポリシーの編集、リザーブドインスタンスマーケットプレイスへ登録、GovCloudへのサインアップなどがあります。

AWSルートユーザーのパスワード変更するためには？

AWSルートユーザーのパスワード変更は、AWSマネジメントコンソールからできます。

AWSルートユーザーのパスワード変更するためには、IAMユーザーではなくAWSアカウントのルートユーザーでログインする必要があります。もし、ルートユーザーのパスワードを忘れた場合でも、パスワードのリセットができます。

まず、AWSルートユーザーのパスワード変更するためには、AWSマネジメントコンソールの右上のアカウント名からし「マイアカウント」を選択します。次に、「アカウント設定」の右にある「編集」を選択します。最後に、パスワードの横にある「編集」から、パスワードを変更して完了です。

AWSのパスワードは、8～128 文字で、大文字、小文字、数字、特殊文字「！ @ # $ % ^ & * () <> [] {} | _+-=」が含まれていること、また、AWSアカウント名やEメールアドレスと異なるものにする必要があります。

IAMユーザーのパスワード変更するためには？

IAMユーザーのパスワード変更は、IAMコンソールからできます。ただし、ルートユーザーによって、IAMコンソールからパスワード変更を許可されている必要があります。

まず、IAMユーザーのパスワード変更するためには、IAMコンソールの右上のユーザー名から「マイセキュリティ認証情報」を選択します。次に、認証情報から「パスワードの変更」を選択し、現在のパスワードと、新しいパスワードを入力します。

最後に「パスワードの変更」をクリックします。

もし、パスワードの有効期限を90日に設定していれば、新しくパスワード変更してから90日を超えたIAMユーザーはパスワードを失効します。次回AWSへサインインするときには、先にパスワード変更する必要があります。

IAMユーザーのパスワードを忘れた場合はどうする？

IAMユーザーのパスワードを忘れた場合は、ルートユーザーから、またはアカウント管理者から、AWSへログインに必要な認証情報をもらえます。

また、AWS公式サイトのお問い合わせページにある「AWSアカウントにログインできません」を選択し、「パスワードを忘れた場合」の「AWSパスワードを再登録する」からパスワード変更することもできます。

このAWS公式サイトのお問い合わせページでは、「アカウント情報を忘れた場合」や「アカウントが停止している場合」、そして「MFAデバイスが利用できなくなった場合」も対応してくれます。

IAMユーザーにパスワード変更する権限がないときは？

IAMユーザーに、パスワード変更する権限を付与する2つの方法があります。AWSでは、IAMユーザーが、強固なパスワードの作成を求めるカスタムパスワードポリシーの設定を勧めています。

1つ目は、全てのIAMユーザーが自分のパスワードを変更できるようにすることで、2つ目は、選択したIAMユーザーのみがパスワード変更を可能にすることです。

この記事では、1つ目の全てのIAMユーザーが自分のパスワードを変更できるようにする方法を紹介します。

全てのIAMユーザーがパスワード変更できるようにする

IAMコンソールのアカウント設定から、全てのIAMユーザーがパスワード変更できるようにします。

IAMコンソールの左メニューから「アカウント設定」を開きます。パスワードポリシーの「パスワードポリシーを変更する」を選択します。次に「ユーザーにパスワードの変更を許可する」にチェックを入れて「変更の保存」をクリックすると完了します。

この項目では、例えば、「1文字以上のアルファベット大文字（A～Z）を必要とする」、「パスワードの再利用を禁止する」「パスワードの有効期限を有効にする」などの設定も可能です。より強固なパスワードを求めたい場合に複数項目にチェックを入れて設定します。

定期的にAWSアカウントのパスワード変更しよう！

AWSアカウントのルートユーザーまたは、IAMユーザーのパスワードは定期的に変更するように心がけましょう。また、日常的な作業には、それが管理者作業であっても、ルートユーザーを使用せず、IAMユーザーを作成してIAMユーザーで作業しましょう。

セキュリティを高めるためには、個々にIAMユーザーを作成して、パスワードの有効期限を設定したり、AWSへのアクセスを制限したりと、IAMを使うことでユーザーをそれぞれ管理できます。

この記事を参考に、無料のAWSアカウントでルートユーザーと、IAMユーザーでパスワード変更やアクセス制限などをぜひ確認してみましょう。