この記事の目次
AWSアカウントのルートユーザーとは

ルートユーザーのパスワードを変更する

- 文字数は8~128文字
- 大文字、小文字、数字、特殊文字が全て含まれる
- AWSアカウント名・Eメールアドレスと一致しない
- ルートユーザーでAWSマネージメントコンソールにサインインします。
- 画面右上のアカウント名またはアカウント番号を選択し、「マイアカウント」をクリックします。
- 「アカウント設定」セクションの編集リンクをクリックします。
- パスワード変更ページで「Password」行の「Edit」をクリックします。
- 「Current password」に現在のパスワードを、「New password」と「Reenter new password」に新しいパスワードを入力して、「Save changes」をクリックします。
- 「Success」と表示されればパスワード変更は完了です。
ルートユーザーの多要素認証(MFA)を有効にする

- 事前準備として、多要素認証用のトークンソフト「Google Authenticator」をスマートフォンにインストールしておきます。
- ルートユーザーでAWSマネージメントコンソールにサインインします。
- 画面右上のアカウント名またはアカウント番号を選択し、「マイセキュリティ資格情報」をクリックします。
- 「多要素認証(MFA)」セクションを開き、「MFAの有効化」をクリックします。
- 「仮想 MFA デバイス」を選択し、続行をクリックします。
- 「QRコードを表示する」リンクをクリックします。
- 表示されたQRコードを「Google Authenticator」で読み取ります。
- 「Google Authenticator」で生成された6桁の数字をMFAコード1に入力します。
- 「Google Authenticator」は30秒ごとに数字を生成するので、30秒待って新しく生成された数字をMFAコード2に入力します。
- 2つのMFAコードを入力したら「MFA割り当て」をクリックします。
- 「仮想MFAが正常に割り当てられました」と表示されれば、MFA有効化は完了です。
ルートユーザーのアクセスキーは作成しない

- 画面右上のアカウント名またはアカウント番号を選択し、「マイセキュリティ資格情報」をクリックします。
- 「アクセスキー(アクセスキーIDとシークレットアクセスキー)」セクションを開きます。
- 削除するアクセスキーの「アクション」の「削除」リンクをクリックします。
- 該当するアクセスキーの「ステータス」が削除済みになれば削除完了です。
ルートユーザーの代替となる管理者用のIAMユーザーを作成する

- ルートユーザーでAWSマネージメントコンソールにサインインして、IAMダッシュボードを開きます。
- 「新しいグループの作成」をクリックします。
- 「グループ名」にグループ名(ここでは「Administrator」を推奨)を入力し、「次のステップ」をクリックします。
- 「ポリシーのアタッチ」で、「AdministratorAccess」にチェックを入れ、「次のステップ」をクリックします。
- 設定内容を確認して、「グループの作成」をクリックします。
- ナビゲーションペインから「ユーザー」をクリックします。
- 「ユーザー追加」をクリックします。
- 「アクセスの種類」は「AWSマネージメントコンソールへのアクセス」を選択します。
- 「コンソールのパスワード」では「カスタムパスワード」を選択して、任意のパスワードを入力し、「次のステップ:アクセス権限」をクリックします。
- 「Administrator」グループを選択して、「次のステップ:タグ」をクリックします。
- タグの設定は特に必要ないので、「次のステップ:確認」をクリックします。
- 設定内容を確認して、「ユーザーの作成」をクリックします。
- ユーザーが作成できたら、完了ページが表示されますので、ユーザーのログイン情報が記載されたCSVファイルを必ずダウンロードしておきましょう。
IAMユーザーで請求情報にアクセスできるようにする

- ルートユーザーでAWSマネージメントコンソールにサインインします。
- 画面右上のアカウント名またはアカウント番号を選択し、「マイアカウント」をクリックします。
- 「IAMユーザー/ロールによる請求情報へのアクセス」セクションの「編集」をクリックします。
- 「IAMアクセスのアクティブ化」にチェックを入れてから「更新」をクリックします。
- 「IAMユーザー/ロールによる請求情報へのアクセスは有効になっています。」と表示されていれば有効化は完了です。
- IAMダッシュボードを開きます。
- ナビゲーションペインから「ポリシー」をクリックします。
- 「ポリシーの作成」をクリックします。
- 「ビジュアルエディタ」タブの「サービスの選択」の検索欄に「Bill」と入力して、「Billing」をクリックします。
- 「すべてのBillingアクション」にチェックを入れ、「ポリシーの確認」をクリックします。
- 「名前」に「BillingFullAccess」と入力して、「ポリシーの作成」をクリックします。
- 「BillingFullAccessが作成されました。」と表示されたら請求情報へのフルアクセスポリシーの作成は完了です。
- 再度「ポリシーの作成」をクリックします。
- 「ビジュアルエディタ」タブの「サービスの選択」の検索欄に「Bill」と入力して、「Billing」をクリックします。
- 「アクセスレベル」の「読み込み」にチェックを入れ、「ポリシーの確認」をクリックします。
- 「名前」に「BillingViewAccess」と入力して、「ポリシーの作成」をクリックします。
- 「BillingViewAccessが作成されました。」と表示されたら請求情報への読み取り専用ポリシーの作成は完了です。
- 前述の「IAMグループの作成手順」を参考に、フルアクセスポリシーを持つグループと読み取り専用ポリシーを持つグループを作成します。
- 「IAMユーザーの作成手順」を参考に、作成したグループを任意のIAMユーザーにアタッチすれば、請求情報へアクセスできるIAMユーザーを作成できます。