公開日: 2025-05-14 | カテゴリ: AWS
はじめに──この記事でわかること
AWS初心者の方にとって、最初に作成される「ルートユーザー」を常に使ってしまうのはよくある落とし穴です。
かくいう私も、1か月ほどずっとルートユーザーを使用していました。
しかし、ルートユーザーを日常的に使用するのは危険です。
この記事では、なぜルートユーザーを常用すべきではないのか、IAMユーザーを使うべき理由と、その設定方法をわかりやすく解説します。
1. ルートユーザーとは?常用するリスク
ルートユーザーとは、すべての権限を持った「特権ユーザー」です。
すべての操作を行えるので、セキュリティリスクが非常に高いです。具体的には、
- 認証情報が漏れるとアカウント全体が危険
- 誰がどんな操作をしたかログで追跡できない
- AWSのベストプラクティスではない
などが挙げられます。そのため、ルートユーザーではなく、普段はIAMユーザーを使うことが推奨されています。
2. 具体的なIAMユーザーの作成方法
- AWSマネジメントコンソールにルートユーザーでログインしましょう。
- マネジメントコンソールの上部検索バーに「IAM」と入力してIAMにアクセスしてください。
- 左側メニューの「ユーザー」→「ユーザーを追加」をクリック
ユーザー名をadminなど、わかりやすい名前に。
「コンソールへのアクセスを許可する」にチェックしてください。
すると、以下の2つが出てきます。
- Identity Center でユーザーを指定する – 推奨
- IAM ユーザーを作成します
私のように、個人利用でAWSを使っている人はIAMユーザーの作成で問題ありません。Identity Centerは、企業や複数人向けのユーザー一元管理システムで、シングルサインオンや外部IDサービスとの連携が便利です。ただ、個人利用としては必須ではないので、余裕があったらこっちにしてみてください。別記事で詳しく解説する予定です。
次はコンソールパスワードの設定です。おすすめはカスタムパスワードです。忘れにくい&ログインしやすいからです。
「ユーザーは次回のサインイン時に新しいパスワードを作成する必要があります」のチェックは外してOKです。この機能は上で設定したものとは別に、初回ログイン時に新たなパスワードに変更するというものです。他の人にIAMユーザーを作ってもらうときなどに使用されます。
次は、アクセス権限の設定です。一人で全体を管理する目的なら、「ポリシーを直接アタッチする」で問題ないです。検索から「AdministratorAccess」を探し、チェックを入れてください。これはAWSのすべての操作を許可する最上位の権限で、ルートユーザーの代わりとして使うIAMユーザーにぴったりです。
次にタグの設定です。これは個人利用時は必須ではありませんが、リソースの識別がしやすくなることや、アクセス制御の条件につかえるので、設定しておいて損はないです。
これで、ユーザーを作成しましょう。最後に、表示されたコンソールサインインのリンクに飛び、ログインしてみましょう。ここまでで、一応設定終了です。必要に応じて、MFA(多要素認証)の設定をしましょう。
IAMユーザーとルートユーザーの違い
ここまで設定してきて、こんな疑問を持った人はいないでしょうか。
「IAMユーザー(管理者権限付与)とルートユーザーは何が違う?」
ほぼ同じ権限を持ちますが、一番大きな違いは「緊急時の対応のしやすさ」です。
- ルートユーザーが漏れた場合
→ 唯一の「鍵」が盗まれた状態なので、自分でパスワードを変えられず、アクセス停止もできない
→ 代替手段がなく、アカウント全体が乗っ取られるリスクが非常に高い - IAMユーザーが漏れた場合
→ ルートユーザー(または別の管理者IAM)でログインして、
・そのIAMユーザーを即時無効化
・パスワードやアクセスキーをローテーション(再発行)
つまり、ログイン情報が漏れたときの対応に雲泥の差があります。
まとめ
ルートユーザーの日常的な使用は、セキュリティ上の大きなリスクとなります。IAMユーザーを適切に設定し、安全にAWSを運用しましょう!
コメント