ルートユーザーでサインインをした時に「Your root user credentials are not valid or sign-in as root is currently disabled for this account」が発生した時の対処法

ルートユーザーでサインインをした時に「Your root user credentials are not valid or sign-in as root is currently disabled for this account」が発生した時の対処法

#AWS Organizations
#AWS
いわさ

いわさ

facebook logohatena logotwitter logo
Clock Icon2025.06.25

いわさです。

先日、AWS Organizations に新しいメンバーアカウントを追加し、ルートユーザーでサインインする機会があったのですが、サインイン時に次のようなエラー「Your root user credentials are not valid or sign-in as root is currently disabled for this account」が発生しました。

B2072D3F-E0AF-42E4-BD0D-E50BEB74F73F_1_105_c.jpeg

私は普段ルートユーザーでサインインする機会はそう多くないので、なぜ認証情報が無効なのか最初よくわかりませんでした。

アクセスできなかった理由

以前のアップデートで、AWS Organization 環境におけるルートアクセス管理機能を制御できるセキュリティ機能のアップデートがありました。

https://dev.classmethod.jp/articles/disable-root-access-management/

これによって、メンバーアカウントのルートユーザーを無効化出来るのですが、おそらくどこかのアップデート検証でルートアクセス一元管理を有効化したのかなと思います。有効化した記憶がないのだが。
公式ドキュメントによると、有効化後は新規メンバーアカウントにはデフォルトでルートユーザー認証情報が付与されなくなるようです。

After you centralize root access, you can choose to delete root user credentials from member accounts in your organization. You can remove the root user password, access keys, signing certificates, and deactivate multi-factor authentication (MFA). New accounts you create in AWS Organizations have no root user credentials by default. Member accounts can't sign in to their root user or perform password recovery for their root user.

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html

確認してみると、既存のメンバーアカウントは認証情報が有効化されていたのですが新規で作成したメンバーアカウントだけ認証情報が「存在しない」になっていました。

4D0B4735-8E02-4ABD-9580-50ACF9E670F8_1_105_c.jpeg

ルートユーザー認証情報の有効化

このルートユーザー認証情報はアカウントごとに有効化/無効化を切り替えることが出来ます。
組織の管理アカウントの IAM 内にある「ルートアクセス管理」から対象アカウントを選択して「特権的なアクション」を実行します。

C96E4E51-A993-4DB8-AED3-329C8B5CD191_1_105_c.jpeg

そうすると、いくつかの特権アクションを管理アカウントから実行が可能です。
メンバーアカウントで実行したい特権アクションが S3 バケットポリシー削除、SQS キューポリシーの削除であればルートユーザー認証情報の有効化は不要です。ここから操作で良いです。

今回はルートユーザーでのサインインが必要だったので「パスワード回復を許可」を選択します。これでルートユーザー認証情報が有効化されます。

8D9FE266-E903-4004-A393-9DD9899BE209_1_105_c.jpeg

有効化後、ルートユーザー認証情報が「存在する」になりました。

1C51CE99-E167-4040-89A4-AE1C55E2BD4E_1_105_c.jpeg

もう一度サインインを試してみると、先程と異なるメッセージ「For security concerns, you need to reset your password.」が表示されるようになりました。

EADDD2EA-25FE-4F83-A8F5-0576B01ECFB1.png

あとは「Forgot password?」リンクからパスワードリセットすることでルートユーザーでサインインできるようになります。

0BA321CF-9020-4F48-B917-71758C9D2041.png

さいごに

本日は、ルートユーザーでサインインをした時に「Your root user credentials are not valid or sign-in as root is currently disabled for this account」が発生したので、サインインできるようにルートユーザー認証情報を再有効化してみました。

ルートユーザーでサインインしたかったが同じメッセージでサインインできなかった方は、ルートユーザー認証情報が有効かどうかを確認してみてください。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] AWS Backup の Logically Air-gapped Vaults で Multi-party Approval によるボールトの復旧がサポートされました

[アップデート] AWS Backup の Logically Air-gapped Vaults で Multi-party Approval によるボールトの復旧がサポートされました

User avatar
たかくに
2025.06.24
ルートユーザーの MFA 強制化が AWS Organizations のメンバーアカウントも対象になるとアナウンスされました

ルートユーザーの MFA 強制化が AWS Organizations のメンバーアカウントも対象になるとアナウンスされました

User avatar
いわさ
2025.06.18
運用の手間を減らす「共有セキュリティグループ機能」を設定方法から注意点まで解説!

運用の手間を減らす「共有セキュリティグループ機能」を設定方法から注意点まで解説!

User avatar
kaz
2025.06.15
【AWS Organizations】 管理アカウントにはSCPが適用されません

【AWS Organizations】 管理アカウントにはSCPが適用されません

User avatar
あしざわ
2025.05.30
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.