# メンバーアカウントのルートアクセスを一元化する
ルートユーザー認証情報は、アカウント内のすべての AWS サービスとリソースに完全にアクセスできる各 AWS アカウント に割り当てられた最初の認証情報です。AWS Organizations を有効にすると、すべての AWS アカウントを組織に統合して一元管理を実現できます。各メンバーアカウントには、メンバーアカウントでアクションを実行するためのデフォルトの許可を持つ独自のルートユーザーがあります。ルートユーザー認証情報のリカバリとアクセスを大規模に防ぐために、AWS Organizations を使用して管理される AWS アカウント のルートユーザー認証情報を一元的に保護することをお勧めします。
ルートアクセスを一元化したら、組織内のメンバーアカウントからルートユーザー認証情報を削除できます。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化できます。AWS Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。メンバーアカウントは、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりできません。
**注記**
一部の [ルートユーザー認証情報が必要なタスク](id_root-user.md#root-user-tasks) は IAM の管理アカウントまたは委任された管理者が実行できるタスクもありますが、一部のタスクはアカウントのルートユーザーとしてサインインした場合にのみ実行できます。
これらのタスクのいずれかを実行するためにメンバーアカウントのルートユーザー認証情報を復元する必要がある場合は、[特権タスクを実行する](id_root-user-privileged-task.md) のステップに従って、**[パスワード回復を許可]**を選択します。メンバーアカウントのルートユーザーの E メール受信トレイにアクセスできるユーザーは、[ルートユーザーのパスワードをリセット](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)し、メンバーアカウントのルートユーザーにサインインする手順を実行できます。
ルートユーザーに対するアクセスを必要とするタスクが完了したら、ルートユーザー認証情報を削除することをお勧めします。
## 前提条件
ルートアクセスを一元化する前に、次の設定でアカウントを設定する必要があります:
+ IAM アクセス許可を持っている必要があります。
+ `iam:GetAccessKeyLastUsed`
+ `iam:GetAccountSummary`
+ `iam:GetLoginProfile`
+ `iam:GetUser`
+ `iam:ListAccessKeys`
+ `iam:ListMFADevices`
+ `iam:ListSigningCertificates`
+ `sts:AssumeRoot`
**注記**
メンバーアカウントのルートユーザー認証情報ステータスを監査するには、AWS Organizations メンバーアカウントで特権タスクを実行する際に許可の範囲を狭めるために [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials) AWS マネージドポリシーを使用するか、または `iam:GetAccountSummary` へのアクセス権を持つ任意のポリシーを使用できます。
ルートユーザーの認証情報レポートを生成するには、他のポリシーで同じ出力を生成する `iam:GetAccountSummary` アクションのみが必要です。次のような個々のルートユーザーの認証情報を一覧表示または取得することも可能です。
ルートユーザーのパスワードが存在するかどうか
ルートユーザーのアクセスキーが存在するかどうか、および最後に使用された日時
ルートユーザーが署名証明書に関連付けられているかどうか
ルートユーザーに関連付けられた MFA デバイス
統合ルートユーザーの認証情報ステータスのリスト
+ [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) で AWS アカウント を管理する必要があります。
+ 組織内でこの機能を有効にするには、次の許可が必要です:
+ `iam:EnableOrganizationsRootCredentialsManagement`
+ `iam:EnableOrganizationsRootSessions`
+ `iam:ListOrganizationsFeatures`
+ `organizations:EnableAwsServiceAccess`
+ `organizations:ListAccountsForParent`
+ `organizations:RegisterDelegatedAdministrator`
+ 最適なコンソール機能を確保するために、次の追加のアクセス許可を有効にすることをお勧めします。
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListOrganizationalUnitsForParent`
+ `organizations:ListParents`
+ `organizations:ListTagsForResource`
## 一元化されたルートアクセスの有効化 (コンソール)
**AWS マネジメントコンソール のメンバーアカウントでこの機能を有効にするには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. コンソールのナビゲーションペインで、**[ルートアクセス管理]** を選択し、**[有効にする]** を選択します。
**注記**
**ルートアクセス管理が無効になっている**場合は、AWS Organizations で AWS Identity and Access Management のために信頼されたアクセスを有効にします。詳細については、「*AWS Organizations ユーザーガイド*」の「[AWS IAM と AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-iam.html)」を参照してください。
1. [有効にする機能] セクションで、有効にする機能を選択します。
+ 管理アカウントと IAM の委任された管理者がメンバーアカウントのルートユーザー認証情報の削除することを許可するには、**[ルート認証情報の管理]** を選択します。メンバーアカウントがルートユーザー認証情報を削除した後にその認証情報をリカバリできるようにするには、メンバーアカウントで特権ルートアクションを有効にする必要があります。
+ 管理アカウントと IAM の委任された管理者がルートユーザー認証情報を必要とする特定のタスクを実行することを許可するには、**[メンバーアカウントでの特権ルートアクション]** を選択します。
1. (オプション) ルートユーザーアクセスを管理し、メンバーアカウントで特権アクションを実行するための許可を持つ **[委任された管理者]** のアカウント ID を入力します。セキュリティまたは管理用のアカウントをお勧めします。
1. **[有効化]** を選択します。
## 一元化されたルートアクセスの有効化 (AWS CLI)
**AWS Command Line Interface (AWS CLI) からの一元的なルートアクセスを有効にするには**
1. AWS Organizations で AWS Identity and Access Management のために信頼されたアクセスをまだ有効にしていない場合は、次のコマンドを使用します: [aws organizations enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)。
1. 管理アカウントと委任された管理者がメンバーアカウントのルートユーザー認証情報を削除することを許可するには、次のコマンドを使用します: [aws iam enable-organizations-root-credentials-management](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-credentials-management.html)。
1. 管理アカウントと委任された管理者がルートユーザー認証情報を必要とする特定のタスクを実行することを許可するには、次のコマンドを使用します: [aws iam enable-organizations-root-sessions](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-organizations-root-sessions.html)。
1. (オプション) 委任された管理者を登録するには、次のコマンドを使用します: [aws organizations register-delegated-administrator](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/register-delegated-administrator.html)。
次の例では、アカウント 111111111111 を、IAM サービスの委任された管理者として割り当てます。
```
aws organizations register-delegated-administrator
--service-principal iam.amazonaws.com
--account-id 111111111111
```
## 一元化されたルートアクセスの有効化 (AWS API)
**AWS API からの一元的なルートアクセスを有効にするには**
1. AWS Organizations で AWS Identity and Access Management のために信頼されたアクセスをまだ有効にしていない場合は、次のコマンドを使用します: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)。
1. 管理アカウントと委任された管理者がメンバーアカウントのルートユーザー認証情報を削除することを許可するには、次のコマンドを使用します: [EnableOrganizationsRootCredentialsManagement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootCredentialsManagement.html)。
1. 管理アカウントと委任された管理者がルートユーザー認証情報を必要とする特定のタスクを実行することを許可するには、次のコマンドを使用します: [EnableOrganizationsRootSessions](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableOrganizationsRootSessions.html)。
1. (オプション) 委任された管理者を登録するには、次のコマンドを使用します: [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)。
## 次のステップ
組織内のメンバーアカウントの特権認証情報を一元的に保護したら、[特権タスクを実行する](id_root-user-privileged-task.md) を参照して、メンバーアカウントで特権アクションを実行します。