AWSアカウントでしかできないことをまとめてみた

ご機嫌いかがでしょうか、豊崎です。

AWSアカウントは非常に強い権限を持っているので、MFAを設定して極力利用せず、IAMアカウントを使いましょう。

よく耳にする、AWSを利用する上でのベストプラクティスです。
確かにその通りで、AWSアカウントの取り扱いについてしっかりとした管理を行うことが望ましいです。
ここでいう「AWSアカウント」とは、いわゆるルートユーザーを指しています。

ですが、AWSアカウントを利用しなければいけないオペレーションもあります。
ここでは比較的頻度の多い、「AWSアカウントでしかできないこと」をまとめてみたいと思います。

AWSアカウント（ルートユーザー）でしかできないこと

ルートユーザーの詳細の変更

AWSアカウントのパスワードの変更や、AWSアカウントに紐づけられたEメールアドレスはAWSアカウントでのみ行えます。

AWS のサポートプランの変更

AWSアカウントでのみサポートプランを変更できます。 開発期間中はサポートプランを「開発者」にしておいて、サービスインのタイミングで、サポートプランを上位のものに切り替えるなどを想定している場合、AWSアカウントを利用する必要があります。

2016年７月26日から「開発者」のサポートプラン料金が$29に値下げされていました。個人利用でも入りやすい料金になっていますね。
https://aws.amazon.com/jp/premiumsupport/compare-plans/

支払オプションの変更、または削除

AWSアカウントを作成する際にはクレジットカードの登録が必要ですが、 クレジットカード情報の参照、変更、及び削除はAWSアカウントでのみ行えます。 余談ですが、インドのみAISPL（インドで AWS サービスのリセラーとなっている現地インド法人）という支払い方法があるのを初めて知りました。

AWSアカウントの請求情報の参照

デフォルトではAWSアカウントでのみ請求情報への参照が行えます。 AWSアカウント側で許可をすることでIAMユーザに請求書の参照を行わせることも可能です。

AWSアカウントの解約

AWSアカウントの解約についてはAWSアカウントでのみ行えます。

逆引き設定の申請

AWS上からメールを送信する際に実施する、逆引き設定の申請もAWSアカウントからのみ行えます。

EC2からのメール送信制限の解除申請

EC2インスタンスからport25を利用したメール送信に対してデフォルトでは送信制限がかかっています。 送信制限を解除したい場合はAWSアカウントから行う必要があります。 逆引き設定とセットで申請するケースが多いです。

Route53で登録したドメインを別AWSアカウントに移管

AWSアカウントを使用して登録したドメインを別のAWSアカウントに移管する場合もAWSアカウントでのみ対応が可能です。

侵入テスト申請

AWS環境の侵入テストを行う場合は事前に申請が必要です。 AWSアカウントで申請が行えます。

その他AWSアカウントでしかできないこと

詳しくは以下URLを参照ください。
https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_tasks-that-require-root.html

さいごに

冒頭に書かせていただいたように、AWSアカウントは非常に権限が強いので、IAMアカウントで行える作業はIAMアカウントで利用を行うのがセオリーです。が、AWSアカウントでのみ実施できるオペレーションも存在します。厳格な管理のもと、安全にAWSアカウントを利用して行きましょう。

誰かのお役に立てば幸いです。