翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS でルートユーザーアカウントを使用する方法とタイミング
ルートユーザーは、アカウント AWS 内のスーパーユーザーです。AMS はルートの使用状況をモニタリングします。ルートは、アカウント設定の変更、請求とコスト管理への (IAM) アクセスの有効化 AWS Identity and Access Management 、ルートパスワードの変更、多要素認証 (MFA) の有効化など、必要ないくつかのタスクにのみ使用することをお勧めします。「 ユーザーガイド」の「ルートユーザー認証情報を必要とするタスク」を参照してください。 AWS Identity and Access Management
注記
MFA は AMS Advanced オンボーディング中に有効になり、特にルートユーザーアクセスを禁止します。AMS マネージドアカウントのルートアクセスは他の AWS アカウントとは異なり、AMS マネージド環境全体のセキュリティにとって重要です。設定された MFA は仮想 MFA であり、AMS 所有のデバイスを使用して実行されます。仮想 MFA が AMS の支援で設定されると、仮想トークンは直ちに削除されます。これにより、ユーザーも AMS もルートユーザーとしてアカウントにログインできなくなります。ルートログインは特別なリクエスト (次に説明) でのみ再有効化でき、AMS はそのようなアクセスが絶対に必要な場合にのみ使用されることを期待します。MFA の詳細については、「多要素認証による新しいアカウントの保護」を参照してください。
ルートアクセスは常に AMS セキュリティおよび運用チームのレスポンスをトリガーします。AMS は API コールのルートアクセスをモニタリングし、そのようなアクセスが検出されるとアラームがトリガーされます。
ルートアクセスのリクエストは、AMS アカウントタイプによって若干異なります。
AMS Advanced シングルアカウントランディングゾーンによるルートアクセス:
シングルアカウントランディングゾーンがある場合は、クラウドサービスの配信マネージャー (CSDM) とクラウドアーキテクト (CAs) に連絡して、必要なルートアクセス作業についてアドバイスしてください。提案されたアクティビティの前に 24 時間前に通知することをお勧めします。
AMS Advanced マルチアカウントランディングゾーンによるルートアクセス:
マルチアカウントランディングゾーンアプリケーション、共有サービス、セキュリティ、またはネットワークアカウントの場合は、管理 | その他 | その他 (ct-1e1xtak34nx76) 変更タイプを使用します。ルートユーザーの認証情報を使用する日付、時刻、目的を含め、アクティビティが提案される 24 時間前に必ず通知するように RFC をスケジュールします。マルチアカウントランディングゾーン管理アカウントを使用して RFC を送信します。
さらに、24 時間前に CSDM と CAs に連絡して、必要なルートアクセス作業についてアドバイスしてください。
AMS オペレーションとルート使用状況に対するセキュリティ対応:
ルートユーザーアカウントが使用されると、AMS はアラームを受け取ります。ルート認証情報の使用がスケジュールされていない場合は、AMS セキュリティチームおよびアカウントチームに連絡して、これが予想されるアクティビティであるかどうかを確認します。アクティビティが想定されていない場合、AMS はセキュリティチームと協力して問題を調査します。
