この記事の目次
AWSのアカウントIDとは?
AWSではアカウントを管理するためにアカウントに対して一意の識別子を付与しており、アカウントIDもその識別子のひとつとなります。
アカウントIDは12桁の数字で表されています。このアカウントIDは、AWSリソースを識別するためのARN(Amazonリソースネーム)の中にも含まれており、ARNにアカウントIDを含んでいることでAWSリソースがどのアカウントのものか即座に分かるようになっています。
また、IAMユーザーのアカウントIDでAWSマネジメントコンソールからログインすることも可能です。
そのためアカウントIDの取り扱いには十分注意して、ネット上にAWSの操作画面の画像を掲載する際はアカウントIDの部分を隠すなどしましょう。
ちなみに、AmazonS3でオブジェクトやバゲットへのアクセス許可をするときにはアカウントIDを難読化した正規ユーザーIDというものが使用されます。
AWSのアカウントIDを確認してみよう
AWSのアカウントIDを確認してみましょう。アカウントIDはAWSマネジメントコンソールから検索することができます。
AWSマネジメントコンソールにログインしているユーザーがルートユーザーである場合とIAMユーザーの場合で確認方法が若干異なりますが、アカウントID自体は同じです。
後述しますが、アカウントIDが外部に漏れると第三者がAWSにログインしようと試みたりする可能性もありますので、その場合はアカウントIDのエイリアスの設定が有効です。
ルートユーザーでログインしている場合のアカウントIDの確認方法
AWSマネジメントコンソールにルートユーザーでログインしている場合、アカウントIDを確認するにはセキュリティ認証情報を確認します。 まず、右上にあるナビゲーションバーのアカウント名、もしくはアカウント番号を選択します。次に、[マイセキュリティ資格情報]を選択します。 [アカウントID]欄を展開すると[AWS アカウントID]と[正規ユーザーID]を確認することができます。IAMユーザーでログインしている場合のアカウントIDの確認方法
AWSマネジメントコンソールにIAMユーザーでログインしている場合も、アカウントIDはセキュリティ認証情報から確認できますが、表示場所が若干異なります。 まず、右上にあるナビゲーションバーのアカウント名を選択し、次に[マイセキュリティ資格情報]を選択します。 表示されたページ上部のアカウント詳細部分で[AWSアカウントID]と[正規ユーザーID]の確認が可能です。 ナビゲーションバーのアカウント名を選択しても[マイセキュリティ資格情報]が表示されない場合は、IAMユーザーではなく外部認証のユーザーでログインしてしまっている可能性があるためブラウザのキャッシュ等を確認しましょう。AWSのアカウントIDをAWSマネジメントコンソール以外から確認する方法
AWSのアカウントIDはAWSマネジメントコンソール以外からも確認することができます。
AWS CLIを使用してアカウントIDを確認するには以下のコマンドを使用します。
aws sts get-caller-identityAPIを使用してアカウントIDを確認するには以下のリクエストを使用します。
GetCallerIdentity
IAMユーザーでAWSマネジメントコンソールにログインする際のURLについて
IAMユーザーでAWSマネジメントコンソールにログインする場合は、専用のURLを使用することでログインが容易になります。
IAMユーザーを作成するとAWSマネジメントコンソールにログインすることができますが、通常の場合はアカウントIDとアカウント名、パスワードを入力する必要があります。
しかしIAMユーザー用のログインURLを使うことで、アカウントIDの入力を省略することができるため、IAMユーザーに対してアカウントIDの管理やログイン時の入力などの負担を減らすことが可能です。
組織のアカウントとIAMユーザーでのログインに対してSSOが構成されていれば、ログイン用URLは必要ありませんが、組織のセキュリティの制限などによりSSOが構成できない場合などはこのログイン用URLは運用上、便利に使うことができます。
アカウントのサインインURLを確認する
アカウントのログインURLは、IAMダッシュボードから確認することができます。 AWSマジメントコンソールにログインしたらIAMを開きます。IAMダッシュボードの上部に「このアカウントのIAMユーザーのサインインURL」と記載されており、以下のような形式でURLが記載されています。https://(アカウントID 12桁の番号).signin.aws.amazon.com/consoleURL右側のコピーアイコンをクリックすることでURLのコピーができますので、組織内のIAMユーザーを使用してAWSマネジメントコンソールにログインする必要があるユーザーへ連携しましょう。
ログインURLをカスタマイズする
AWSのログインURLはカスタマイズしてアカウントIDの部分を任意のエイリアスに変更できます。 IAMダッシュボードに記載されているログインURLの右側にある[カスタマイズ]を選択し、任意のエイリアスを入力します。エイリアスは63文字以内で使用できる文字はa~z、0~9、および‐(ハイフン)です。 任意のエイリアスを使ったログインURLは以下のような形になります。https://(任意のエイリアス).signin.aws.amazon.com/console任意のエイリアスを設定した場合であっても、アカウントID形式のURLも従来通り利用できます。
AWS CLIを使用してログインURLのエイリアスを作成する
AWS CLIを使ってAWSマネジメントコンソールのログインURLのエイリアスを作成・削除・管理することも可能です。
AWS CLIでこれらの操作を行うことで、AWSマネジメントコンソールで行うよりも操作ミスを減らしたり、操作ログを簡単に残したりすることができ、コマンドを事前に準備しておくことで運用負荷を減らすこともできます。
エイリアスを作成する
アカウントIDのエイリアスを作成するにはcreate-account-aliasコマンドを使用します。
aws iam create-account-alias例えばエイリアス名を
examplecorpとする場合は以下のようにコマンドを使用します。
aws iam create-account-alias --account-alias examplecorp
エイリアスの一覧を表示する
アカウントIDのエイリアスの一覧を表示するにはlist-account-aliasesコマンドを使用します。
使用例は以下のような形です。
aws iam list-account-aliasesエイリアスが
examplecorpのみの場合、出力は以下のような形になります。
"AccountAliases": [ "examplecorp" ]
エイリアスを削除する
アカウントIDのエイリアスを削除するにはdelete-account-aliasコマンドを使用します。
examplecorpというエイリアスを削除するには、以下のようにコマンドを使用します。
aws iam delete-account-alias --account-alias examplecorp
AWS アカウントIDについて把握してAWSをもっとうまく活用していきましょう
今回はAWSのアカウントIDについてご紹介しました。
アカウントIDはAWSマネジメントコンソールにログインする際に用いたり、リソースの識別にも使われており、取り扱いには注意が必要です。
しかしAWSマネジメントコンソールのURLをエイリアスに変更することで、アカウントIDをみだりに周知する必要がなくなります。
AWS アカウントIDのエイリアスや正規ユーザーIDなどをしっかり把握して、AWSを組織内で正しく運用・活用していきましょう。]]>
