【AWS IAM①】ルートユーザーとIAMユーザーの違い・MFA運用の鉄則

  • URLをコピーしました!

AWSを使い始めると、最初に作成するのがAWSアカウントです。
しかし、そのまま作成されたルートユーザー(Root User)を普段の業務で使い続けることは、AWSでは推奨されていません。

AWSでは、最初にルートユーザーで最低限の初期設定を行い、その後はIAM(Identity and Access Management)を利用してIAMユーザーを作成し、日常の作業はIAMユーザーで行うことがベストプラクティスとなっています。

また、AWS認定ソリューションアーキテクト アソシエイト(SAA-C03)では、ルートユーザー・IAMユーザー・MFA(多要素認証)の違いは非常に頻繁に出題される重要テーマです。

この記事では、AWS初心者向けにルートユーザーとIAMユーザーの違い、MFAを設定すべき理由、AWSで推奨される運用方法について詳しく解説します。

目次

この記事でわかること

  • AWSアカウントとは何か
  • ルートユーザーとIAMユーザーの違い
  • IAMとは何か
  • なぜ普段はIAMユーザーを利用するのか
  • MFA(多要素認証)が必要な理由
  • SAA試験で問われるポイント

📚 SAA試験対策ボックス

試験頻出度 ★★★★★
重要度 ★★★★★
学習優先度 最優先
関連ドメイン ドメイン1:セキュアなアーキテクチャの設計
関連サービス AWS IAM・IAM Identity Center・AWS Organizations

この記事で覚えること

  • ルートユーザーは普段利用しない
  • IAMユーザーで日常業務を行う
  • MFAは必ず設定する
  • 最小権限の原則を理解する

AWSアカウントとは?

AWSを利用するためには、まずAWSアカウントを作成する必要があります。

AWSアカウントとは、AWSサービスを利用するための契約単位であり、EC2やS3、RDSなど、すべてのAWSサービスはこのAWSアカウント内で利用します。

AWSアカウントを作成すると、自動的にルートユーザー(Root User)が作成されます。

このルートユーザーはAWSアカウント全体を管理する最上位権限を持つ特別なユーザーです。

IAM(Identity and Access Management)とは?

IAM(Identity and Access Management)は、AWSでユーザーやアクセス権限を管理するサービスです。

IAMを利用することで、社員ごと・システムごとに専用のユーザーを作成し、それぞれ必要な権限だけを付与できます。

例えば、インフラ担当者にはEC2やVPCを操作する権限、開発者にはLambdaやCloudWatchのみ操作できる権限を与えることができます。

IAMでできること概要
IAMユーザー利用者ごとのアカウント作成
IAMグループ複数ユーザーをまとめて管理
IAMロールAWSサービスへ権限を委任
IAMポリシーアクセス権限を定義
MFA多要素認証によるセキュリティ強化

💼 実務ではこう考える

企業では「1人1IAMユーザー」が基本です。
誰がいつ何を実施したのかをCloudTrailで記録できるため、監査やセキュリティ対策にも役立ちます。

ルートユーザーとは?

ルートユーザー(Root User)は、AWSアカウント作成時に自動で作成される特別な管理者アカウントです。

AWSアカウント内のすべてのサービス・設定を変更できる最高権限を持っています。

例えば、以下のような操作はルートユーザーでしか実施できないものがあります。

  • AWSアカウントの解約
  • 請求情報の管理
  • 支払い方法の変更
  • 一部のアカウント設定変更

このように非常に強力な権限を持つため、日常業務では利用すべきではありません。

IAMユーザーとは?

IAMユーザーとは、IAMで作成する利用者専用のアカウントです。

AWSでは、日常業務はルートユーザーではなくIAMユーザーで実施します。

IAMユーザーごとにアクセス権限を設定できるため、必要最低限の権限だけを付与できます。

例えば、開発担当者にはEC2の起動・停止のみ許可し、請求情報やIAM設定は変更できないようにすることが可能です。

比較項目ルートユーザーIAMユーザー
作成方法AWSアカウント作成時に自動作成IAMで作成
権限すべて付与された権限のみ
普段利用×
MFA設定必須推奨
削除不可可能

認証と認可の違い

IAMを理解するうえで、「認証(Authentication)」と「認可(Authorization)」の違いを理解しておくことが重要です。

用語意味
認証(Authentication)本人確認を行うユーザー名・パスワード・MFA
認可(Authorization)何ができるかを決定するIAMポリシーによる権限制御

例えば、AWSマネジメントコンソールへログインするときは「認証」が行われ、その後IAMポリシーによって「EC2を起動できる」「S3は閲覧のみ」といった「認可」が実施されます。

MFA(多要素認証)とは?

MFA(Multi-Factor Authentication:多要素認証)とは、パスワードだけではなく、スマートフォンやハードウェアトークンなど複数の要素を組み合わせて本人確認を行う認証方式です。

万が一パスワードが漏えいした場合でも、MFAを設定していれば第三者が簡単にログインすることはできません。

AWSでは、ルートユーザーだけでなくIAMユーザーにもMFAを設定することが推奨されています。

認証要素
知識情報(Something You Know)パスワード・PINコード
所持情報(Something You Have)認証アプリ・セキュリティキー
生体情報(Something You Are)指紋・顔認証

ポイント

AWS認定試験では、「ルートユーザーにはMFAを必ず設定する」という内容が頻繁に問われます。

AWSで利用できるMFAの種類

AWSでは、用途や運用方針に応じて複数のMFA方式を利用できます。

MFA方式概要利用例
認証アプリTOTPによるワンタイムパスワードを生成Google Authenticator、Microsoft Authenticator など
FIDOセキュリティキー物理キーを利用した認証YubiKeyなど
パスキー(Passkey)生体認証や端末認証を利用Windows Hello、Touch IDなど

個人利用では認証アプリを利用するケースが多く、企業ではFIDO2対応のセキュリティキーやパスキーを採用するケースも増えています。

なぜルートユーザーにMFAが必要なのか?

ルートユーザーはAWSアカウント全体を管理できる最高権限を持っています。

もしルートユーザーの認証情報が第三者に漏えいすると、EC2やS3の削除、IAMの変更、請求情報の改ざんなど、重大な被害につながる可能性があります。

そのため、AWSではルートユーザー作成後に最優先でMFAを設定することを推奨しています。

💼 実務ではこう考える

企業ではルートユーザーの認証情報を金庫やパスワード管理ツールで厳重に保管し、日常業務では使用しません。 ルートユーザーは「緊急時専用アカウント」として管理するのが一般的です。

AWSが推奨するルートユーザー運用

AWS公式では、ルートユーザーについて以下の運用を推奨しています。

推奨事項理由
強力なパスワードを設定する不正ログインを防止するため
MFAを有効化する認証情報漏えい時の被害を防ぐため
日常業務では利用しない誤操作や情報漏えいのリスクを減らすため
IAMユーザーを作成する最小権限で運用するため
アクセスキーを作成しないプログラムからの利用を防ぐため

AWS公式ベストプラクティス

ルートユーザーのアクセスキーは作成しないことが推奨されています。 もし既に作成している場合は、不要であれば削除しましょう。

最小権限の原則(Principle of Least Privilege)

AWSでは、「必要最小限の権限だけを付与する」という最小権限の原則(Principle of Least Privilege)が重要です。

例えば、EC2の起動・停止だけを担当する運用者に対して、IAMや請求情報の変更権限まで付与する必要はありません。

必要な権限だけを付与することで、誤操作や情報漏えい時の影響を最小限に抑えることができます。

運用担当者必要な権限
開発者Lambda・CloudWatch
インフラ担当EC2・VPC・ELB
DB管理者RDS・Secrets Manager
経理担当Billing・Cost Explorer

💼 実務ではこう考える

企業では部署や役割ごとにIAMグループを作成し、グループへポリシーを割り当てることで、効率的かつ安全に権限管理を行います。

IAMグループやIAMポリシーの詳細については、次回の記事「【AWS IAM②】ポリシー、グループ、ロール(Role)の役割と使い分けを完全図解」で詳しく解説します。

ルートユーザーとIAMユーザーの使い分け

実際のAWS運用では、それぞれの役割を明確に分けることが重要です。

操作内容ルートユーザーIAMユーザー
AWSアカウント作成×
請求情報の管理△(権限付与時のみ)
EC2操作
S3操作
IAM設定〇(権限付与時)
日常業務×

基本的には、日常業務はIAMユーザーで行い、ルートユーザーは緊急時やアカウント管理時のみ利用するようにしましょう。

🔥 SAA試験頻出ポイント

AWS認定ソリューションアーキテクト アソシエイト(SAA-C03)では、IAMに関する問題が毎回のように出題されます。特に「誰が利用すべきか」「どの認証方式を利用すべきか」「最小権限の原則」は頻出テーマです。

  • ルートユーザーはAWSアカウント作成時に自動で作成される最高権限のユーザー
  • ルートユーザーは初期設定後は利用せず、日常業務はIAMユーザーで行う
  • ルートユーザーには必ずMFA(多要素認証)を設定する
  • IAMユーザーにもMFAを設定することが推奨される
  • 最小権限の原則(Principle of Least Privilege)に従い、必要最低限の権限のみ付与する
  • アクセスキーはルートユーザーではなくIAMユーザーで利用する
  • 企業では1人につき1つのIAMユーザーを作成する

⚠ 初心者が間違えやすいポイント

誤解正しい理解
ルートユーザーで作業するのが普通ルートユーザーは緊急時やアカウント管理時のみ利用する
IAMユーザーは必須ではない日常業務ではIAMユーザーを利用するのがAWS推奨
MFAは企業だけ設定すればよい個人利用でも必ず設定することが推奨される
IAMユーザーには何でも権限を付与してよい最小権限の原則に従って必要最低限の権限だけ付与する
ルートユーザーのアクセスキーを作成しても問題ないAWSではルートユーザーのアクセスキーを作成しないことが推奨されている
認証と認可は同じ意味認証は本人確認、認可は操作できる範囲を決定すること

💼 実務ではこう運用する

企業のAWS環境では、ルートユーザーを日常的に利用することはほとんどありません。

一般的には、AWSアカウント作成後に以下のような初期設定を実施します。

  1. ルートユーザーへMFAを設定する
  2. ルートユーザーのアクセスキーが存在しないことを確認する
  3. 管理者用IAMユーザーを作成する
  4. IAMユーザーへAdministratorAccessなど必要な権限を付与する
  5. IAMユーザーにもMFAを設定する
  6. 以後の作業はIAMユーザーで実施する

さらに、複数人でAWSを利用する企業では、部署や役割ごとにIAMグループを作成し、必要な権限をまとめて管理することが一般的です。

近年では、IAMユーザーではなくIAM Identity Center(旧AWS Single Sign-On)を利用してアクセス管理を行う企業も増えています。

💡 実務ポイント

AWS Well-Architected Frameworkの「Security」の考え方でも、ルートユーザーの利用を最小限にし、個人ごとの認証情報を利用することが推奨されています。

AWS公式試験ガイドとの関連

本記事はAWS Certified Solutions Architect – Associate(SAA-C03)の「ドメイン1:セキュアなアーキテクチャの設計」に対応しています。

特に以下の知識は試験で頻繁に問われます。

  • ルートユーザーとIAMユーザーの違い
  • MFA(多要素認証)の目的
  • 認証(Authentication)と認可(Authorization)の違い
  • 最小権限の原則
  • AWS IAMによるアクセス管理

これらは、IAMポリシーやIAMロール、IAM Identity Centerなど、今後学習するIAM関連サービスの土台となる知識です。

まとめ

AWSでは、アカウント作成時にルートユーザーが自動的に作成されますが、ルートユーザーは最高権限を持つ特別なアカウントであり、日常業務で利用することは推奨されていません。

実際の運用では、IAMを利用してIAMユーザーを作成し、必要最小限の権限だけを付与して運用します。また、ルートユーザー・IAMユーザーともにMFAを設定することで、不正アクセスのリスクを大幅に低減できます。

SAA試験では、「誰が何を利用すべきか」「どの認証方式が適切か」を問う問題が頻繁に出題されます。ルートユーザーとIAMユーザーの違い、MFAの役割、最小権限の原則は必ず理解しておきましょう。

目次