【2024年】AWSアカウントの rootユーザーでしかできないことをまとめてみた

【2024年】AWSアカウントの rootユーザーでしかできないことをまとめてみた

Clock Icon2024.05.09

こんにちは!AWS事業本部のおつまみです。

みなさん、rootユーザーでしかできない操作を知りたいと思ったことはありますか?私はあります。

rootユーザーとは、AWSアカウントを作成した際に自動的に付与される最も権限の高いユーザーアカウントのことです。 rootユーザーには特別な権限があり、一般ユーザーアカウント(IAMユーザー)ではできない操作が可能です。

しかし、rootユーザーだと非常に強い権限を持っているので、基本的にAWSを利用する際はIAMユーザーを利用することがベストプラクティスとされています。

AWS アカウントのルートユーザーのベストプラクティス - AWS Identity and Access Management
rootユーザーの認証情報が必要なタスクがある場合を除き、AWS アカウントのrootユーザーにはアクセスしないことを強くお勧めします。

また弊社AWS総合支援サービスである「メンバーズ」を利用されている場合、安全性を考慮し、お客様AWSアカウントのrootユーザーは弊社が管理しています。

ただ、AWSを利用していく中でrootユーザーを利用しなければいけない操作も出てきます。
今回はその操作をまとめてみたので、ご紹介します!

rootユーザーでしかできないこと

アカウント管理関連

アカウント自体の情報変更

アカウント名、E メールアドレス、rootユーザーパスワード、rootユーザーアクセスキーの変更はrootユーザーでのみ行えます。
それ以外の連絡先情報、支払い通貨設定、AWS リージョンなどはrootユーザーでなくとも変更可能です。

IAM ユーザー(管理者用)のアクセス許可更新

唯一特権管理者として作成したIAMユーザーが誤って自身のアクセス許可を取り消した場合、何も操作することができなくなります。その場合、rootユーザーでログインし、IAMユーザーのポリシーを編集することでアクセス許可を復元できます。

アカウント自体の解約

AWSアカウントの解約はrootユーザーでしか行えません。

請求関連

AWSアカウントの請求情報の参照

デフォルトではAWSアカウントでのみ請求情報への参照が行えます。
AWSアカウント側で許可をすることでIAMユーザに請求書の参照を行わせることも可能です。

サポートプランの変更・キャンセル

AWS サポートプランの変更はrootユーザーでしか行えません。

2024/5/14 追記
AWSサポートプランの変更は、rootユーザーだけでなく、AWSサポートプランへのアクセス権限を持つIAMユーザーでも可能です。ただし、弊社のAWS総合支援サービス「メンバーズ」をご利用の場合、サービスコントロールポリシー(SCP)によりアクセス権限が制限されているため、お客様自身でプランを変更することはできません。また、他のリセラーでご契約のお客様についても、同様にアクセス権限が制限されている可能性がありますので、サポートプランの変更が可能かどうかはリセラー元にご確認ください。

その他一部の請求タスクについては、rootユーザーでしか行えないため、こちらの公式ドキュメントをご参考ください。

支払オプションの変更、または削除

AWSアカウントを作成する際に紐づけたクレジットカード情報の参照、変更、及び削除はrootユーザーでしか行えません。
なお弊社のAWS総合支援サービス「メンバーズ」をご利用の場合、メンバーズポータルサイトより対応できます。詳細は下記リンクをご確認下さい。(メンバーズポータルサイトへのサインインが必要です。)

[新CMP] 支払い方法をクレジットカード払いに変更したい – クラスメソッド株式会社

AWS GovCloud (US) の利用

AWS GovCloudは、米国政府機関やそれに関連する企業が、機密データを安全に扱えるよう設計された、セキュリティとコンプライアンスが強化された専用のクラウド環境です。
こちらのアカウントを作成はrootユーザーでしか行えません。

なおアカウント作成には所定の条件が必要なため、日本でワークロードを実行されるお客様はあまり気にしなくてよいです。

AWS GovCloud (米国) サインアップ - AWS GovCloud (米国)

Amazon EC2 関連

リザーブドインスタンスマーケットプレイスへの販売

余ったEC2 Standard のリージョンおよびゾーンのリザーブドインスタンスのみを売却できます。
なお弊社のAWS総合支援サービス「メンバーズ」をご利用の場合、お客様は売却することができません。

Amazon S3 関連

S3 MFA (多要素認証) Delete の有効化

以下の操作をする際にMFAが必須となり、セキュリティを強化できます。

  • バケットのバージョニング状態を変更する
  • オブジェクトバージョンを完全に削除する

すべてのプリンシパルを拒否する Amazon S3 バケットポリシーの編集または削除

S3バケットポリシーの誤設定により S3バケット へ アクセス不能となった場合、rootユーザーでの作業が必要となります。

なお弊社のAWS総合支援サービス「メンバーズ」をご利用の場合、弊社にてS3バケットポリシーの削除を行いますので、サポートにお問い合わせください。詳細は下記リンクをご確認下さい。(メンバーズポータルサイトへのサインインが必要です。)

S3バケットポリシーの削除をしたい – クラスメソッド株式会社

Amazon SQS 関連

すべてのプリンシパルを拒否する Amazon SQS リソースポリシーの編集または削除

上記のS3バケットポリシーと同様の事象です。

さいごに

今回はAWSアカウントの rootユーザーでしかできない操作をまとめてご紹介しました。

最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。

以上、おつまみ(@AWS11077)でした!

参考

ルートユーザー認証情報が必要なタスク - AWS Identity and Access Management

AWSアカウントでしかできないことをまとめてみた | DevelopersIO

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.