ルートユーザーの MFA 強制化が AWS Organizations のメンバーアカウントも対象になるとアナウンスされました
2025.06.18いわさです。
今朝アナウンスされていましたが、ルートユーザーの MFA 強制化が AWS Organizations のメンバーアカウントも対象となるとアナウンスされました。
これまで Organizations の管理アカウントおよび、スタンドアロンアカウントについてはルートユーザーの MFA が強制化されていたのですが、今回メンバーアカウントも対象になり、全てのアカウントタイプのルートユーザーが MFA 強制化の対象となります。
アナウンスでは本日よりと記載があるのですが、実際には 2025 年 2 月上旬ごろに本件と同じ内容の通知が AWS より送信されていたりします。
こちらの通知では 2025 年 3 月 24 日より、メンバーアカウントもルートユーザーの MFA 強制化が始まるよと通知されています。
実際に今回の挙動が 2025 年 3 月からなのか最近からなのかまでは確認できていないのですが、本日時点でメンバーアカウントにおけるルートユーザーの MFA 強制化の動きを確認することが出来たので紹介します。
メンバーアカウントを発行しルートユーザーの挙動を確認してみる
まずは AWS Organizations の機能から新規メンバーアカウントを発行しました。
ちなみにこの時点で MFA 登録が要求されているわけではありません。
発行後、ルートユーザーでサインインしてみたのですが MFA の要求がされませんでした。
メールアドレスに確認コードが送信されています。これのこと?
これでログインは出来ました。
マネジメントコンソールのセキュリティ認証情報を確認してみると MFA の登録はありません。
うーんと思っていたのですが、もう一度ルートユーザーでサインインし直してみると、今度はパスワード入力後に MFA 要求画面が表示されました。これか!
ここから MFA デバイスの登録を行うことが出来ます。
また、登録を省略することも可能で、その場合は 35 日以内に MFA 登録を行う必要があります。
上記は公式ドキュメントにも記載されていまして、AWS マネジメントコンソール初回サインインから 35 日以内に MFA を登録する必要があるとのことです。
Users must register MFA within 35 days of their first sign-in attempt to access the AWS Management Console if MFA is not already enabled.
さいごに
本日はルートユーザーの MFA 強制化対象が AWS Organizations のメンバーアカウントも対象になるとアナウンスされたので試してみました。
数ヶ月前からこの挙動になっていた可能性はあるのですが、今回改めてアナウンスされたので確認してみました。
メンバーアカウントのルートユーザー MFA が強制化はされましたが、昨今はルートユーザー認証情報自体を削除してメンバーアカウントはルートユーザーでのサインインを出来なくする方法を推奨されています。通常の運用でルートユーザー認証情報が不要であればまずはこちらの機能を使いましょう。
その上でどうしてもルートユーザー認証情報の用意が必要であれば、35 日以内の MFA 登録を忘れないようにしましょうね。
![[アップデート]AWS Backupで組織レベルでバックアップインデックスを作成できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-61c3c74c9fbde5b3bc234043f3ce3128/3c555f171fd799831bf6aeb586ca13bf/aws-backup)
