私の組織では AWS GovCloud (米国) を使用してワークロードを実行しています。セキュリティインシデントまたはコンプライアンス要件のため、組織では現在、すべてのルートユーザーアカウントアクセスキーを削除、無効化、またはローテーションする必要があります。
AWS アカウントにサインアップすると、AWS アカウントのルートユーザー (以下、「ルートユーザー」) というシングルサインイン ID が発行されます。ルートユーザーは、お使いの AWS アカウント内のすべての AWS サービスとリソースにアクセスできます。ルートユーザーの認証情報を使用して AWS GovCloud (米国) のサインアッププロセスを完了すると、AWS GovCloud (米国) アカウントのルートユーザーも作成されます。
重要: AWS アカウントのルートユーザーは、最初の AWS Identity and Access Management (IAM) ユーザーを作成する場合にのみ使用するのがベストプラクティスです。最初の IAM ユーザーを作成したら、ルートユーザーのアクセスキーをロックして、いくつかのタスクの実行にのみ使用するようにしてください。日常業務には、IAM ユーザーアカウントを使用してください。
以下の手順に従って、AWS GovCloud (米国) アカウントのルートアクセスキーを削除、非アクティブ化、またはローテーションします。
**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。
AWS CLI でルートアクセスキーを設定する
手順の最初に、AWS GovCloud (米国) アカウントのルートユーザーアクセスキーを使用して AWS CLI を設定します。AWS CLI をローカルで使用することもできます。手順については、「AWS CLI (AWS CloudShell) で、AWS GovCloud (米国) アカウントのルートユーザーアクセスキーを設定する」を参照してください。
ルートアクセスキーがあることを確認する
AWS GovCloud (米国) アカウントにルートアクセスキーがあることを確認するには、「AWS GovCloud (米国) アカウントに既存のルートアクセスキーがあるかどうかを把握する」を参照してください。
ルートアクセスキーを削除する
ルートアクセスキーを削除するには、「AWS GovCloud (米国) アカウントのルートユーザーアクセスキーを削除する」の手順に従います。
ルートアクセスキーを無効にする
ルートアクセスキーを無効にするには、AWS CLI コマンド update-access-key を実行します。次に例を示します。
aws iam update-access-key --access-key-id AKIAEXAMPLE123456789 --status Inactive
ルートアクセスキーをローテーションする
ルートアクセスキーをローテーションするには、「AWS GovCloud (米国) アカウントのルートユーザーアクセスキーをローテーションする」の手順に従ってください。
AWS GovCloud (米国) における IAM の違い