はじめに
このドキュメントの主旨はAWSセキュリティを体系的に整理する方法の一案に書かれています。
概要
ルートユーザは、AWSアカウントに紐づく認証主体であり、そのアカウント内のすべてのリソースに対して無制限のアクセス権限を持つ特別なユーザである。AWS の利用を開始すると、まずAWSアカウントが作成され、そのアカウントに対して1つのルートユーザが作成される。
ルートユーザの認証にはパスワード認証が用いられており、具体的には以下のように行なわれる[1]。
- ユーザはAWSに対してメールアドレスおよびパスワードを送信する
- 認証に成功した場合のみ、AWSは当該アカウントにコンテンツ(AWS Management Consoleなど)を返送する。
この認証方式により、正当な主体のみが自身のAWSアカウント内のリソースにアクセスできるようになる。
ルートユーザは、極めて強力な権限を持つため、日常的な作業には使用せず、初期設定や例外的な管理作業のみ(例えば、「一番最初に作成するIAMユーザの作成」が該当する。IAMユーザにについては、IAMユーザによる権限制御を参照)にのみ利用することが、リスクを軽減することにつながる。
AWSが担うこと
認証基盤の提供(認証情報の検証処理、認証情報の管理など)。
(認証の詳細な設計については省略する。ユーザ視点では、ログイン画面にメールアドレスとパスワードを入力するだけで認証が完了するように見える。)
ユーザが担うこと
メールアドレスとパスワードを適切に管理すること。
多要素認証によるセキュリティ強化:
ルートユーザは極めて強力な権限を持つため、万が一認証情報が漏洩した場合、そのアカウント内のすべてのリソースへアクセスできてしまうリスクがある。このリスクを軽減するために、AWSでは多要素認証(Multi-Factor Authenticaton: MFA)の設定が推奨されている。
多要素認証とは、異なる種類の認証方式を組み合わせて認証を行う方式である。AWSのルートユーザ認証では、
1)Passkeysによる認証
2)Virtual authentication applicationsによる認証
3)Hardware TOTP tokensによる認証
の3種類の認証方式を提供している[2]。認証時には、メールアドレス/パスワード認証に加え、設定したすべての認証に成功しなければ、ルートユーザとしてサインインすることはできない。なお、各認証方式の詳細については省略する。
参考文献
[1] AWS. (n.d.). AWS account root user. Available at: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html (Accessed on 2026-01-11)
[2]AWS. (n.d.). Multi-factor authentication for AWS account root user. Available at: https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html (Accessed on 2026-01-11)