AWSのルートユーザーとは？IAMユーザーの作成方法もご紹介

AWSアカウントのルートユーザーとは

AWSアカウントのルートユーザーとは、AWSアカウントを作成した時に用意したEメールアドレスとパスワードを使用してサインインできるアカウントです。

またルートユーザーは、請求情報など支払いに関連したものも含めた、AWSの全てのサービスとリソースに対して無制限にアクセス可能で、解約などの契約変更も実行可能です。

AWSでは、このルートユーザーを日常の業務で使用するべきではないとしており、管理者として作業する場合も、必要な権限を付与したIAMユーザーを使用することを強く推奨しています。したがって、ルートユーザーの役割は最初のIAMユーザーの作成のみに限定されるべきです。

以降の項目では、ルートユーザーの安全を確保するためにやっておくべきことや、ルートユーザーの代替となる、管理用のIAMユーザーの作成方法などを紹介していきます。

ルートユーザーのパスワードを変更する

ここでは、AWSアカウントのルートユーザーのパスワード設定の条件と変更手順について紹介します。

AWSでは、パスワードの安全を確保するために、パスワードの定期的な変更や他サイトと異なるパスワードの採用を推奨しています。以下の条件や手順に従って容易に推測できないパスワードを設定しておきましょう。

• 文字数は8～128文字
• 大文字、小文字、数字、特殊文字が全て含まれる
• AWSアカウント名・Eメールアドレスと一致しない

• ルートユーザーでAWSマネージメントコンソールにサインインします。
• 画面右上のアカウント名またはアカウント番号を選択し、「マイアカウント」をクリックします。
• 「アカウント設定」セクションの編集リンクをクリックします。
• パスワード変更ページで「Password」行の「Edit」をクリックします。
• 「Current password」に現在のパスワードを、「New password」と「Reenter new password」に新しいパスワードを入力して、「Save changes」をクリックします。
• 「Success」と表示されればパスワード変更は完了です。

ルートユーザーの多要素認証（MFA）を有効にする

ここでは、AWSの多要素認証（MFA）の概要と、ルートユーザーのMFAを有効化する手順を紹介します。MFAはAWSに限らず、あらゆるサイトで必須と言って良いセキュリティ対策ですので、必ず有効化しましょう。

多要素認証（MFA）とは、知識情報（ID、パスワード、秘密の言葉）、所持情報（携帯電話、ハードウェアトークン、ICカード）、生体情報（指紋、虹彩、静脈、声紋など）から2つ以上を組み合わせて認証する方式です。

AWSでは、知識情報と所持情報を組み合わせてMFAを実現していて、2020年現在推奨されているのは、仮想MFAデバイス（スマホアプリなどで実現）またはハードウェアMFAデバイスを利用する方法です。

今回は、無料で使えて比較的容易に導入可能な仮想MFAデバイスを利用した手順を紹介します。

• 事前準備として、多要素認証用のトークンソフト「Google Authenticator」をスマートフォンにインストールしておきます。
• ルートユーザーでAWSマネージメントコンソールにサインインします。
• 画面右上のアカウント名またはアカウント番号を選択し、「マイセキュリティ資格情報」をクリックします。
• 「多要素認証（MFA）」セクションを開き、「MFAの有効化」をクリックします。
• 「仮想 MFA デバイス」を選択し、続行をクリックします。
• 「QRコードを表示する」リンクをクリックします。
• 表示されたQRコードを「Google Authenticator」で読み取ります。
• 「Google Authenticator」で生成された6桁の数字をMFAコード1に入力します。
• 「Google Authenticator」は30秒ごとに数字を生成するので、30秒待って新しく生成された数字をMFAコード2に入力します。
• 2つのMFAコードを入力したら「MFA割り当て」をクリックします。
• 「仮想MFAが正常に割り当てられました」と表示されれば、MFA有効化は完了です。

ルートユーザーのアクセスキーは作成しない

AWSでは、基本的にルートユーザーのアクセスキーを作成しないことを推奨しています。

アクセスキーとは、プログラムなどからAWSにアクセスするために使用されるものですが、ルートユーザーのアクセスキーというものも作成することができます。

これはルートユーザーと同じことができるもので、AWSのサービスやリソースへのフルアクセス、契約情報の変更なども可能となっていて、その権限を制限することもできません。

万が一漏洩した場合には、大きな損害を被る可能性もありますので、どうしても必要というような状況でない限りは、ルートユーザーのアクセスキーを作成しないようにしましょう。もしも意図せずに作成してしまった場合は、以下の手順で削除しましょう。

• 画面右上のアカウント名またはアカウント番号を選択し、「マイセキュリティ資格情報」をクリックします。
• 「アクセスキー（アクセスキーIDとシークレットアクセスキー）」セクションを開きます。
• 削除するアクセスキーの「アクション」の「削除」リンクをクリックします。
• 該当するアクセスキーの「ステータス」が削除済みになれば削除完了です。

ルートユーザーの代替となる管理者用のIAMユーザーを作成する

ルートユーザーの代替となる、管理者用のIAMユーザーとグループの作成手順を紹介します。

前述の通り、AWSでは管理者であってもルートユーザーを使用することは推奨されていません。運用を開始する前に、必ず管理者用のIAMユーザーを作成しておきましょう。

なお、単に管理者用のIAMユーザーを作るだけであれば、グループの作成は必要ありませんが、管理者権限を持つユーザーを複数用意する必要や、将来追加する可能性がある場合は、管理者権限を持つグループを作成する方が便利です。

• ルートユーザーでAWSマネージメントコンソールにサインインして、IAMダッシュボードを開きます。
• 「新しいグループの作成」をクリックします。
• 「グループ名」にグループ名（ここでは「Administrator」を推奨）を入力し、「次のステップ」をクリックします。
• 「ポリシーのアタッチ」で、「AdministratorAccess」にチェックを入れ、「次のステップ」をクリックします。
• 設定内容を確認して、「グループの作成」をクリックします。

• ナビゲーションペインから「ユーザー」をクリックします。
• 「ユーザー追加」をクリックします。
• 「アクセスの種類」は「AWSマネージメントコンソールへのアクセス」を選択します。
• 「コンソールのパスワード」では「カスタムパスワード」を選択して、任意のパスワードを入力し、「次のステップ：アクセス権限」をクリックします。
• 「Administrator」グループを選択して、「次のステップ：タグ」をクリックします。
• タグの設定は特に必要ないので、「次のステップ：確認」をクリックします。
• 設定内容を確認して、「ユーザーの作成」をクリックします。
• ユーザーが作成できたら、完了ページが表示されますので、ユーザーのログイン情報が記載されたCSVファイルを必ずダウンロードしておきましょう。

IAMユーザーで請求情報にアクセスできるようにする

管理者用として作成したIAMユーザーが、請求情報にアクセスできるように設定する手順を紹介します。

デフォルトの設定では、ルートユーザー以外では請求情報を表示することができません。ルートユーザーを使用せずに請求情報を見るためには、IAMユーザーからも請求情報にアクセスできるように設定する必要があります。

以下の手順で、IAMユーザーの請求情報へのアクセスを有効化とアクセス権の付与を行いましょう。

• ルートユーザーでAWSマネージメントコンソールにサインインします。
• 画面右上のアカウント名またはアカウント番号を選択し、「マイアカウント」をクリックします。
• 「IAMユーザー／ロールによる請求情報へのアクセス」セクションの「編集」をクリックします。
• 「IAMアクセスのアクティブ化」にチェックを入れてから「更新」をクリックします。
• 「IAMユーザー／ロールによる請求情報へのアクセスは有効になっています。」と表示されていれば有効化は完了です。

• IAMダッシュボードを開きます。
• ナビゲーションペインから「ポリシー」をクリックします。
• 「ポリシーの作成」をクリックします。
• 「ビジュアルエディタ」タブの「サービスの選択」の検索欄に「Bill」と入力して、「Billing」をクリックします。
• 「すべてのBillingアクション」にチェックを入れ、「ポリシーの確認」をクリックします。
• 「名前」に「BillingFullAccess」と入力して、「ポリシーの作成」をクリックします。
• 「BillingFullAccessが作成されました。」と表示されたら請求情報へのフルアクセスポリシーの作成は完了です。
• 再度「ポリシーの作成」をクリックします。
• 「ビジュアルエディタ」タブの「サービスの選択」の検索欄に「Bill」と入力して、「Billing」をクリックします。
• 「アクセスレベル」の「読み込み」にチェックを入れ、「ポリシーの確認」をクリックします。
• 「名前」に「BillingViewAccess」と入力して、「ポリシーの作成」をクリックします。
• 「BillingViewAccessが作成されました。」と表示されたら請求情報への読み取り専用ポリシーの作成は完了です。
• 前述の「IAMグループの作成手順」を参考に、フルアクセスポリシーを持つグループと読み取り専用ポリシーを持つグループを作成します。
• 「IAMユーザーの作成手順」を参考に、作成したグループを任意のIAMユーザーにアタッチすれば、請求情報へアクセスできるIAMユーザーを作成できます。