AWSアカウントを作成すると、最初に「ルートユーザー」が与えられます。このユーザーはすべてのAWSリソースに対して完全なアクセス権を持っており、まさに“神の手”ともいえる存在です。
ですが、このルートユーザーで日常的な作業をしてはいけないと、AWS公式ドキュメントでも強く警告されています。さらに、従来の「IAMユーザー」による運用も非推奨となりつつあり、現在は「IAM Identity Center(旧AWS SSO)」の活用が推奨されています。
Contents
ルートユーザーとは?
ルートユーザーは、AWSアカウント作成時に設定したメールアドレスとパスワードでログインする特別なユーザーです。
- すべてのサービスとリソースにアクセス可能
- IAMの全削除も可能
- 支払い・請求関連の設定が可能
このような危険性の高い操作が可能なため、運用上は極力使わないことが原則です。
なぜルートユーザーを使ってはいけないのか?
❌ セキュリティリスクが非常に高い
1つのルートアカウントが漏洩すると、全リソースが乗っ取られる可能性があります。
❌ ログの追跡・監査が困難
ルートユーザーは1人しかおらず、「誰が操作したか」を識別できません。
❌ AWSのセキュリティベストプラクティスに反する
AWS公式は、ルートユーザーの使用を以下の4つの操作に限定するよう求めています:
- 最初のIAM Identity Centerの設定
- 請求関連の設定変更
- アカウント閉鎖
- MFAの有効化
では、どうすればよいのか?
✅ Step 1: IAM Identity Center(旧AWS SSO)を有効化する
IAM Identity Centerとは、組織全体でSSO(シングルサインオン)を実現する最新の認証・認可サービスです。
- 社内IDプロバイダと連携可能(Azure AD, Okta など)
- 役割ベースのアクセス管理(RBAC)が容易
- 一時的なセッションのため、アクセスキー不要
✅ Step 2: 必要なユーザー・グループを割り当てる
Identity Centerで業務ごとの「許可セット(Permission Set)」を作成し、各ユーザーに割り当てます。これにより「誰が、どこに、どのレベルで」アクセスできるかを細かく制御可能です。
IAMユーザーはもう使うべきではないのか?
結論から言うと、日常の運用では使うべきではありません。
- IAMユーザーはアクセスキーやシークレットキーが固定で発行され、漏洩リスクが高い
- ローテーションやMFA強制が面倒
- 大規模運用・監査には不向き
AWS自身も公式ドキュメントで、IAM Identity Centerへの移行を促しています。
まとめ:ルートユーザーもIAMユーザーも“非常用”
| 利用者 | 使うべきか | 用途例 |
|---|---|---|
| ルートユーザー | ❌ 最小限にすべき | Identity Centerの初期設定、請求設定変更など |
| IAMユーザー | ⚠ 非推奨(段階的廃止) | 特定の自動処理やLegacy対応に限る |
| Identity Center | ✅ 推奨 | 日常の全操作、ロールベースの管理など |
安全なAWS運用の第一歩
- ルートユーザーにはMFAを設定して、普段は使わない
- IAMユーザーの新規作成は原則やめる
- IAM Identity Centerでユーザー・権限管理を行う
こうした運用が、セキュリティの高いAWS運用です。