# AWS アカウントのルートユーザー
<a name="id_root-user"></a>

Amazon Web Services (AWS) アカウントを初めて作成する場合は、このアカウントのすべての AWS サービスとリソースに対して完全なアクセス権限を持つシングルサインインアイデンティティで始めます。このアイデンティティは、AWS アカウントの*ルートユーザー*と呼ばれます。AWS アカウント を作成するために使用したメールアドレスとパスワードは、ルートユーザーとしてサインインするために使用する認証情報です。
+ ルートレベルのアクセス許可を必要とするタスクを実行する場合にのみ、ルートユーザーを使用してください。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「[ルートユーザー認証情報が必要なタスク](#root-user-tasks)」を参照してください。
+ [AWS アカウント のルートユーザーのベストプラクティス](root-user-best-practices.md)に従ってください。
+ サインインできない場合は、「[AWS マネジメントコンソール にサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html)」を参照してください。

**重要**  
日常的なタスクにはルートユーザーを使用せず、[AWS アカウントのルートユーザーのベストプラクティス](root-user-best-practices.md)に従うことを強くお勧めします。ルートユーザー資格情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「[ルートユーザー認証情報が必要なタスク](#root-user-tasks)」を参照してください。

ルートユーザーにはデフォルトで MFA が適用されますが、最初のアカウント作成時またはサインイン時にプロンプトに従って MFA を追加するためには、お客様のアクションが必要です。ルートユーザーを保護するための MFA の使用の詳細については、「[AWS アカウントのルートユーザー の多要素認証](enable-mfa-for-root.md)」を参照してください。

## メンバーアカウントのルートアクセスを一元管理
<a name="id_root-user-access-management"></a>

認証情報を大規模に管理するのに役立つよう、AWS Organizations のメンバーアカウントのルートユーザー認証情報に対するアクセスを一元的に保護できます。AWS Organizations を有効にすると、すべての AWS アカウントを組織に統合して一元管理を実現できます。ルートアクセスを一元化すると、ルートユーザー認証情報を削除し、メンバーアカウントで次の特権タスクを実行できます。

**メンバーアカウントのルートユーザー認証情報を削除する**  
[メンバーアカウントのルートアクセスを一元化](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)したら、Organizations のメンバーアカウントからルートユーザー認証情報を削除することを選択できます。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化できます。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。

**ルートユーザー認証情報を必要とする特権タスクを実行する**  
一部のタスクは、アカウントのルートユーザーとしてサインインした場合にのみ実行できます。これらの [ルートユーザー認証情報が必要なタスク](#root-user-tasks) の一部は、管理アカウントまたは IAM の委任された管理者によって実行できます。メンバーアカウントで特権アクションを実行する方法の詳細については、「[特権タスクを実行する](id_root-user-privileged-task.md)」を参照してください。

**ルートユーザーのアカウントリカバリを有効にする**  
メンバーアカウントのルートユーザー認証情報をリカバリする必要がある場合、Organizations 管理アカウントまたは委任された管理者は、**[パスワードリカバリ許可]** 特権タスクを実行できます。メンバーアカウントのルートユーザーの E メール受信トレイにアクセスできるユーザーは、[ルートユーザーのパスワードをリセット](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)して、ルートユーザー認証情報をリカバリできます。ルートユーザーに対するアクセスを必要とするタスクが完了したら、ルートユーザー認証情報を削除することをお勧めします。

## ルートユーザー認証情報が必要なタスク
<a name="root-user-tasks"></a>

日常的なタスクを実行したり、AWS リソースにアクセスしたりするには、[AWS IAM アイデンティティセンター で管理者ユーザーを設定](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)することをお勧めします。ただし、アカウントのルートユーザーとしてサインインする場合にのみ、以下に示すタスクを実行できます。

AWS Organizations のメンバーアカウント全体で特権ルートユーザー認証情報の管理を簡素化するには、AWS アカウント に対する高度な特権アクセスを一元的に保護するのに役立つよう、一元化されたルートアクセスを有効にできます。[メンバーアカウントのルートアクセスを一元管理](#id_root-user-access-management) を使用すると、長期的なルートユーザー認証情報のリカバリを一元的に削除して防止し、組織内のアカウントセキュリティを改善できます。この機能を有効にすると、メンバーアカウントで次の特権タスクを実行できます。
+ ルートユーザーのアカウントリカバリを防ぐには、メンバーアカウントのルートユーザー認証情報を削除します。また、メンバーアカウントのルートユーザー認証情報をリカバリするためのパスワードのリカバリを許可することもできます。
+ すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されたバケットポリシーを削除します。
+ すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除します。

**アカウント管理タスク**
+ [AWS アカウント設定を変更する。](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)AWS Organizations に属さないスタンドアロンの AWS アカウントが E メールアドレス、ルートユーザーパスワード、ルートユーザーアクセスキーを更新するには、ルート認証情報が必要です。アカウント名、連絡先情報、代替連絡先情報、支払い通貨設定、AWS リージョンなどのその他のアカウント設定については、ルートユーザー認証情報は不要です。
**注記**  
AWS Organizations (すべての機能が有効化されている場合) は、管理アカウントと委任された管理者アカウントからメンバーアカウント設定を一元的に管理するために使用できます。管理アカウントと委任された管理者アカウントの両方で承認された IAM ユーザーまたは IAM ロールは、メンバーアカウントの閉鎖や、ルート E メールアドレス、アカウント名、連絡先情報、代替連絡先情報、およびメンバーアカウントの AWS リージョンの更新を実行できます。
+ [AWS アカウントを閉鎖する。](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)AWS Organizations に属さないスタンドアロンの AWS アカウントがアカウントを閉鎖するには、ルート認証情報が必要です。AWS Organizations では、管理アカウントと委任された管理者アカウントからメンバーアカウントを一元的に閉鎖することができます。
+ [IAM ユーザーアクセス許可を更新します。](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)唯一の IAM 管理者が自身のアクセス許可を誤って取り消した場合は、ルートユーザーとしてサインインしてポリシーを編集し、アクセス許可を復元できます。

**請求タスク**
+ [請求情報とコスト管理コンソールへの IAM アクセスをアクティブにする](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate)
+ 一部の請求タスクはルートユーザーに限定されます。詳細については、AWS Billingユーザーガイドの「[AWS アカウントの管理](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html)」を参照してください。
+ 特定の税金請求書を表示します。[aws-portal:ViewBilling](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) 許可を持つ IAM ユーザーは、AWS Europe から VAT 請求書を表示およびダウンロードすることができますが、AWS Inc または Amazon Internet Services Private Limited (AISPL) からはできません。

**AWS GovCloud (US) タスク**
+ [AWS GovCloud (US) にサインアップします](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/getting-started-sign-up.html)。
+ AWS GovCloud (US) アカウントに AWS サポート からのルートユーザーアクセスキーを要求します。

**Amazon EC2 タスク**
+ リザーブドインスタンスマーケットプレイスに[出品者として登録します](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ri-market-general.html)。

**AWS KMS タスク**
+ AWS Key Management Service キーが管理不能になった場合、管理者は サポート に連絡して再び管理可能にできます。ただし、サポート はルートユーザーのプライマリ電話番号に応答して、チケット OTP の確認による認可をします。

**Amazon Mechanical Turk タスク**
+  [AWS アカウントを MTurk リクエスタアカウントにリンクします](https://docs.aws.amazon.com/AWSMechTurk/latest/AWSMechanicalTurkGettingStartedGuide/SetUp.html#accountlinking)。

**Amazon Simple Storage Service Tasks**
+ [MFA (多要素認証)に対応するように Amazon S3 バケットを設定します](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。
+ [すべてのプリンシパルを拒否する Amazon S3 バケットを編集または削除します](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-endpoint-s3-bucket-policy/)。

  特権アクションを使用すると、設定ミスのあるバケットポリシーを持つ Amazon S3 バケットのロックを解除できます。詳細については、「[AWS Organizations メンバーアカウントで特権タスクを実行する](id_root-user-privileged-task.md)」を参照してください。

**Amazon Simple Queue Service Task**
+ [すべてのプリンシパルを拒否する Amazon SQS リソースベースのポリシーを編集または削除します](https://aws.amazon.com/premiumsupport/knowledge-center/sqs-queue-access-issues-deny-policy)。

  特権アクションを使用すると、設定ミスのあるリソースベースのポリシーを持つ Amazon SQS キューのロックを解除できます。詳細については、「[AWS Organizations メンバーアカウントで特権タスクを実行する](id_root-user-privileged-task.md)」を参照してください。

## その他のリソース
<a name="id_root-user-resources"></a>

AWS ルートユーザーの詳細については、次のリソースを参照してください:
+ ルートユーザーの問題については、「[ルートユーザーに関する問題をトラブルシューティングする](troubleshooting_root-user.md)」を参照してください。
+ AWS Organizations のルートユーザーの E メールアドレスを一元的に管理するには、「*AWS Organizations ユーザーガイド*」の「[メンバーアカウントのルートユーザーの E メールアドレスを更新する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)」を参照してください。

以下の記事では、ルートユーザーの操作に関するさらに詳細な情報を提供しています。
+ [AWS アカウント とそのリソースを保護するためのベストプラクティスにはどのようなものがありますか?](https://repost.aws/knowledge-center/security-best-practices)
+ [ルートユーザーが使用されたことを通知する EventBridge イベントルールを作成する方法とは?](https://repost.aws/knowledge-center/root-user-account-eventbridge-rule)
+ [AWS アカウントのルートユーザー アクティビティを監視して通知する](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) 
+ [IAM ルートユーザーのアクティビティを監視する](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)