Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
おひとり様Organizations管理者もルートアクセス管理を有効にしよう!
Search
amarelo_n24
November 15, 2025
Education
140
2
Share
おひとり様Organizations管理者もルートアクセス管理を有効にしよう!
2025/11/15 JAWS-UG 栃木 オフライン # 5 登壇資料
amarelo_n24
November 15, 2025
More Decks by amarelo_n24
See All by amarelo_n24
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになり、ルートアクセス管理を有効にしたおひとり様Organizationsの話
amarelo_n24
0
15
AWS Certified Generative AI Developer - Professional Beta 不合格体験記
amarelo_n24
1
120
マルチパートアップロードをする時にS3はどのような挙動をしているのか?
amarelo_n24
0
52
ひとりAWS BuilderCards 会を開催した話_SecurityExpansion
amarelo_n24
1
71
ひとりAWS BuilderCards 会を開催した話
amarelo_n24
1
24
re:Invent初参加者が感じたre:Invent を楽しむために必要なこと
amarelo_n24
0
43
アウトプット再始動2025・つなげるアウトプット2026
amarelo_n24
0
70
AWS re_Invent に全力で参加したくて筋トレを頑張っている話
amarelo_n24
2
150
バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話
amarelo_n24
1
190
Other Decks in Education
See All in Education
What workforce agencies must have in place to compete for and deliver on RESTART grants
territorium
PRO
0
130
0203
cbtlibrary
0
150
160人の中高生にAI・技術体験の講師をしてみた話
shuntatoda
1
430
リモートリポジトリの操作 / 02-c-remote
kaityo256
PRO
0
140
栃木県警サイバーセキュリティ研修会2026
nomizone
1
370
Gitの中身 / 03-a-git-internals
kaityo256
PRO
0
170
反応する前に「受容する」力を鍛える。 自分の安全地帯🌱 を育てよう / Cultivating and sharing ventral vagal safety.
spring_aki
0
120
Measuring what matters
jonoalderson
0
150
【ベテランCTOからのメッセージ】AIとか組織とかキャリアとか気になることはあるけどさ、個人の技術力から目を背けないでやっていきましょうよ
netmarkjp
2
4.1k
Introduction - Lecture 1 - Next Generation User Interfaces (4018166FNR)
signer
PRO
2
4.6k
地区危機管理委員会 出前セミナー「ロータリーにおける危機管理」:膳所 和彦 氏(国際ロータリー第2720地区 パストガバナー・日田ロータリークラブ・医療法人恒心会ぜぜ医院 理事長):2720 Japan O.K. ロータリーEクラブ2026年2月16日卓話
2720japanoke
1
620
(2026) Quelle(s) mathématique(s) dans la "grande" culture?
mansuy
1
100
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Product Roadmaps are Hard
iamctodd
PRO
55
12k
How GitHub (no longer) Works
holman
316
150k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
25k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
410
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
54k
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.4k
HDC tutorial
michielstock
1
600
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
160
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.2k
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
120
Transcript
おひとり様Organizations管理者も ルートアクセス管理を有効にしよう! 2025/11/16 JAWS-UG 栃木 オフライン #
5
自己紹介 藤田 直幸 | アマレロ@コーヒー焙煎人兼エンジニア JAWS-UG 彩の国埼玉支部 運営 X:@amarelo_n24 Facebook
https://www.facebook.com/naoyuki.fujita.37 仕事:所属企業の情シス 好きなAWSサービス:IAM、S3、CloudShell 好きなこと:コーヒー豆の焙煎
はじめに
個人でマルチアカウント運用していると、ルートアクセス管理 が大変なはず。今回は、おひとり様Organizations管理者は 活用した方が良い、マルチアカウント環境でのルートアクセス 管理について話します! ※個人の見解です。個人利用の範囲で試した結果のため、 参考程度に留めてください。 はじめに
Qiitaにブログ書きました。こちらも読んでいただけたら嬉しいです! ▪おひとり様Organizations管理者もルートアクセス管理を有効にしよう! https://qiita.com/amarelo_n24/items/3e2356e5fb215f128cb3 今回の元記事
1.ルートアクセス管理とは 2.ルートユーザーの認証情報を一括管理するメリット 3.ルートアクセス管理の有効化 4.ルートアクセス管理でできる各種機能 5.まとめ アジェンダ
1.ルートアクセス管理とは
2024年11月、IAMに追加されたアップデート。Organizations 所属の メンバーアカウントの ・ルートユーザーの認証情報削除・追加を一元管理 ・バケットポリシーの削除 ・Amazon SQSのキューポリシーの削除 をすることができます。
https://aws.amazon.com/jp/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-manag ement/ ルートアクセス管理とは
2.ルートユーザーの認証情報を一括管理するメリット
S3バケットのバケットポリシーを誤って編集できなくしても、 ルートユーザーでわざわざログインしなおす必要はない!! ※私は以前バケットポリシーの編集をやらかし、バケット内のオブジェクトを 見れなくなったり、バケットポリシーを編集できなくなって焦りました… ▪バケットポリシーの記述を誤りマネコンからS3バケットを操作できなくなりそうになった話 https://qiita.com/amarelo_n24/items/225456495d3a896c8004 ①メンバーアカウントのルートユーザーログインを不要に!
・利用頻度の低いルートユーザーの認証情報管理負荷の軽減 ・ルートユーザーの不正利用リスクの軽減 ※IAM Identity Center も有効にすれば、アカウントごとのIAM ユーザーの認証情報管理も無くすことができる!! ②ルートユーザーの認証情報管理から解放される!
3.ルートアクセス管理の有効化
管理アカウントにログインします。IAMの画面を開き、 「ルートアクセス管理」を開きます。 ※Organizationsではなく、IAMの画面なので、 お間違いなく! ルートアクセス管理を有効
有効化をクリックします。 ルートアクセス管理を有効
ルートアクセス管理を有効 ルート認証情報管理 ルートユーザーの認証情報削除・登録を許可 メンバーアカウントでの特権ルートアクション バケットポリシーの削除とSQSキューポリシーの削除を許可
「ルートアクセス管理が有効になっています」と表示されたら設定完了 ルートアクセス管理を有効
4.ルートアクセス管理でできる各種機能
IAMの「ルートアクセス管理」からルートユーザーのパスワードと MFA情報を削除することができる! ①メンバーアカウントのルートユーザー認証情報削除
以降は、ルートユーザーでログインしようとしても、「ルートユーザーの認証情 報が無効」と表示されてログインできなくなります。 ①メンバーアカウントのルートユーザー認証情報削除
メンバーアカウントのルートユーザーログイン情報を削除しても、 「パスワードの回復を許可」で再設定可能! ②メンバーアカウントのルートユーザーログイン復活
ルートユーザーログインを可能に戻しても、パスワードは自動で発行さ れません。ルートユーザーの管理者がリセットする必要があります。 マネジメントコンソールからパスワードリセット手続きができます。 紛失または忘れたルートユーザーのパスワードをリセットする https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reset-root-password.html ②メンバーアカウントのルートユーザーログイン復活
ルートユーザーでしか削除できなかったバケットポリシー、 SQSキューポリシーも特権的なアクションから削除が可能。 ③バケットポリシー・SQSキューポリシー削除
管理アカウント自身のルートユーザー認証情報は削除できません。 【注意】管理アカウントのルートユーザー管理は対象外 ルートアクセス管理画面で、管理アカウン トを選択しても「特権的なアクションを実行 する」ボタンが活性化されませんでした。
管理アカウントのルートユーザー認証情報管理を 無くすことができません!慎重に!! 【注意】管理アカウントのルートユーザー管理は対象外
5.まとめ
・ルートアクセス管理で、メンバーアカウントのルートユーザー 認証情報を一括管理でき、余分な認証情報を整理できる。 ・万が一、メンバーアカウント内のS3バケットポリシーやSQSキュー ポリシーを誤っても、ルートユーザーログイン不要。 ・管理アカウントのルートユーザー認証情報は対象外なので、 これまで同様、厳密な管理が必要。 ・おひとり様Organizationsを使っている人は、 ルートアクセス管理の負荷軽減を検討してみては? ※IAM Identity
Center の有効もいっしょに。 まとめ
Qiitaにブログ書きました。こちらも読んでいただけたら嬉しいです! ▪おひとり様Organizations管理者もルートアクセス管理を有効にしよう! https://qiita.com/amarelo_n24/items/3e2356e5fb215f128cb3 今回の元記事(再掲)
ご清聴ありがとうございました!
amarelo_n24
territorium
cbtlibrary
.png){kind=avatar}
shuntatoda
kaityo256
nomizone
spring_aki
jonoalderson
netmarkjp
signer
2720japanoke
mansuy
eileencodes
iamctodd
holman
caitiem20
addyosmani
reverentgeek
destraynor
ipullrank
michielstock
sabderemane
aleyda
kimpetersen
