【2026年4月版】 AWSアカウントの rootユーザーでしかできないことをまとめてみた
こんにちは!クラウド事業本部のおつまみです。
みなさん、rootユーザーでしかできない操作を知りたいと思ったことはありますか?私はあります。
以前、2024年版の記事を書きました。
2024年版の記事から約2年が経ち、一部情報が古くなっていた部分があったため、本記事では2026年4月2日時点での「ルートユーザーでしかできないこと」を整理します。
rootユーザーとは
rootユーザーとは、AWSアカウント作成時に自動的に払い出される最高権限のアカウントです。
AWSではセキュリティのベストプラクティスとして、日常的な操作にはIAMユーザーを使用し、rootユーザーは必要最小限の操作にのみ使用することを推奨しています。
rootユーザーの危険性については、こちらのブログをご参照ください。
ちなみに弊社AWS総合支援サービスである「メンバーズ」を利用されている場合、安全性を考慮し、お客様AWSアカウントのrootユーザーは弊社が管理しています。
rootユーザーを利用した操作を行いたい場合は、弊社メンバーズポータルのお問い合わせよりリクエストを受け付けております。
2024年以降の主な変更点
2024年版の記事を書いた後、いくつかの重要な変更がありました。
まずはそちらを紹介します。
① IAM 中央ルートアクセス管理(2024年11月〜)
2024年11月、AWS Identity and Access Management(IAM)に 中央ルートアクセス管理(Centralized Root Access Management) が追加されました。
この機能により、AWS Organizationsの管理アカウント(または委任された管理者アカウント)から、メンバーアカウントのルートユーザーを一元管理できるようになりました。主な機能は以下の2つです。
ルート認証情報管理(Root credentials management)
メンバーアカウントのルートユーザーパスワード・アクセスキー・署名証明書・MFAを管理アカウントから削除できます。
また、新規作成したメンバーアカウントは、デフォルトでルートユーザー認証情報なしの状態(パスワードリカバリーも不可)になります。
詳細は以下のドキュメントをご参照ください。
特権ルートアクション(Privileged root actions)
最大15分間のタスクスコープ付きルートセッションを発行し、特定の高権限操作をメンバーアカウントに対して実行できます。
セッションは用途が限定されており、例えば「S3バケットポリシーのロック解除」用セッションでは、他のルート操作は一切実行できません。
対象操作は以下の通りです。
- 全プリンシパルを拒否するS3バケットポリシーの削除
- 全プリンシパルを拒否するSQSキューポリシーの削除
この機能により、AWS Organizationsを使っている場合は、S3/SQSポリシーロック解除のためだけにルートユーザーでサインインする必要がなくなりました。
詳細は以下のドキュメントをご参照ください。
② MFA必須化(2025年春〜)
2025年春より、AWS Organizationsのメンバーアカウントで中央ルートアクセス管理を有効化していない場合、ルートユーザーでAWSマネジメントコンソールにサインインするにはMFAの登録が必須になりました。
2026年4月時点のまとめ:rootユーザーでしかできないこと
以下、2026年4月時点での整理です。AWS公式ドキュメントの「rootユーザーが必要なタスク」をベースに、変更点を反映させています。
アカウント管理
アカウント情報の変更
メールアドレス、rootユーザーのパスワード、rootユーザーのアクセスキーの変更はrootユーザーのみ実行できます。
IAMユーザーの権限の復元
IAM管理者が誤って自分のアクセス許可を取り消してしまった場合、rootユーザーがIAMポリシーを編集することでアクセス権限を復元できます。
AWSアカウントのクローズ
スタンドアロンアカウントの解約はrootユーザーのみ実行できます。
請求・支払い
支払い方法(クレジットカード等)の閲覧・変更・削除
支払いに使用するクレジットカードなどの情報はrootユーザーのみが管理できます。
特定の税務インボイスの表示
AWS Inc.およびAISPL(AWS India)が発行する特定の税務インボイスの表示はrootユーザーのみ可能です。
Billing and Cost ManagementコンソールへのIAMアクセスの有効化
IAMアクセスが無効になっている場合、これを有効にできるのはrootユーザーのみです。
AWS GovCloud (US)
AWS GovCloud (US) へのサインアップ
AWS GovCloud (US) の利用開始はrootユーザーのみ実行できます。
AWS Supportからのルートユーザーアクセスキーのリクエスト
rootユーザーのアクセスキーをAWSサポートにリクエストする操作はrootユーザーのみ実行できます。
Amazon EC2
Reserved Instance Marketplaceへの出品登録
リザーブドインスタンスをAWS Marketplaceに出品するための登録はrootユーザーのみ実行できます。
AWS KMS
管理不能になったKMSキーの復旧
AWSサポート経由でKMSキーを復旧する際、rootユーザーの主電話番号による認証が必要です。
Amazon Mechanical Turk
AWSアカウントとMTurk Requesterアカウントのリンク
AWS AccountとAmazon Mechanical Turk Requesterアカウントのリンクはrootユーザーのみ実行できます。
Amazon S3
S3バケットのMFA Delete設定
S3バケットのバージョニングに対してMFA Deleteを有効化できるのはrootユーザーのみです(スタンドアロンアカウントの場合)。
全プリンシパルを拒否するバケットポリシーの編集・削除
すべてのプリンシパルを拒否するポリシーが設定されたS3バケットのポリシーを変更・削除できるのはrootユーザーのみです(スタンドアロンアカウントの場合)。
Amazon SQS
全プリンシパルを拒否するSQSリソースベースポリシーの編集・削除
すべてのプリンシパルを拒否するポリシーが設定されたSQSキューのポリシーを変更・削除できるのはrootユーザーのみです(スタンドアロンアカウントの場合)。
さいごに
今回はAWSアカウントの rootユーザーでしかできない操作(2026年4月版)をまとめてご紹介しました。
rootユーザーでしか行えない操作の範囲は上記のとおり限定的です。
安全な管理体制を持つメンバーズでの契約であれば、お客様自身がrootユーザーを管理するよりもセキュリティリスクを低減できる場合があります。
ご検討の際の参考になれば幸いです。
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
参考
- AWS アカウントのルートユーザー - AWS Identity and Access Management
- AWS アカウントのルートユーザーのベストプラクティス - AWS Identity and Access Management
- AWS Organizations のメンバーアカウントのルートアクセスを一元管理する - AWS Identity and Access Management
- Secure root user access for member accounts in AWS Organizations | AWS Security Blog
- Centrally managing root access for customers using AWS Organizations | AWS News Blog
- 【2024年】AWSアカウントの rootユーザーでしかできないことをまとめてみた | DevelopersIO
