Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Centralize root access 使ってみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
KosakaYudai
March 29, 2026
Technology
3
0
Share
Centralize root access 使ってみた
Centralize root access 使ってみた
KosakaYudai
March 29, 2026
More Decks by KosakaYudai
See All by KosakaYudai
【アップデート情報共有会】課金請求の原因を突き止めろ ~Amazon Q CLI カスタムエージェントでAWS利用料金を調査してみた~
kosakayudai
0
3
そのアップデート知らないを失くします ~AWSでカスタマイズ情報プラットフォーム作ってみた~
kosakayudai
0
3
そろそろ手動でAWS構成図を 書くのはやめたい ~Amazon Q CLI カスタムエージェントでAWS構成図作成してみた~
kosakayudai
0
3
Other Decks in Technology
See All in Technology
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
2.4k
国内外の生成AIセキュリティの最新動向 & AIガードレール製品「chakoshi」のご紹介 / Latest Trends in Generative AI Security (Domestic & International) & Introduction to AI Guardrail Product "chakoshi"
nttcom
4
1.5k
Anthropic「Long-running a gents」をGeminiで再現してみた
tkikuchi
0
620
色を視る
yuzneri
0
190
AIが盛んな時代に 技術記事を書き始めて起きた私の中での小さな変化
peintangos
0
270
M5Stack CoreS3とZephyr(RTOS)で Edge AIっぽいことしてみた
iotengineer22
0
360
20260428_Product Management Summit_Loglass_JoeHirose
loglassjoe
3
4k
AgentCore×VPCでの設計パターンn選と勘所
har1101
4
340
260422_Sansan_Tech_Talk__関西_vol.3_データ活用のリアル__矢田__.pdf
sansantech
PRO
0
130
ServiceNow Knowledge 26 の歩き方
manarobot
0
220
Revisiting [CLS] and Patch Token Interaction in Vision Transformers
yu4u
0
400
Practical TypeProf: Lessons from Analyzing Optcarrot
mame
0
1.2k
Featured
See All Featured
The browser strikes back
jonoalderson
0
990
Reality Check: Gamification 10 Years Later
codingconduct
0
2.1k
Paper Plane (Part 1)
katiecoart
PRO
0
6.8k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
1.2k
Joys of Absence: A Defence of Solitary Play
codingconduct
1
350
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4k
Odyssey Design
rkendrick25
PRO
2
580
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
780
A Tale of Four Properties
chriscoyier
163
24k
Amusing Abliteration
ianozsvald
1
160
How STYLIGHT went responsive
nonsquared
100
6.1k
Transcript
Centralize root access 使ってみた
目次 1. ルートユーザ管理の課題 2. Centralize root access 使ってみた 3. 使用開始時の注意点
4. まとめ
1.ルートユーザ管理の課題 みなさん、ルートユーザ使っていますでしょうか
1.ルートユーザ管理の課題 ▪ルートユーザとは AWSアカウントにおけるすべての操作を行うことができる非常に強い権限。
1.ルートユーザ管理の課題 ▪ルートユーザの使用機会は少ない (ルートユーザ認証が必須となる作業) ・アカウント設定変更 アカウント名、E メールアドレス、アカウントのクローズ ・未使用のリザーブドインスタンスの販売登録 ・誤操作により、ルートユーザ以外でアクセス不可となった リソースポリシーの変更 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management
1.ルートユーザ管理の課題 ▪一方で、複数アカウントの運用が前提となる現在、 ルートユーザ管理には手間がかかる ・新規AWSアカウント作成時のMFA設定作業 ・MFAデバイスの管理 ・ルートユーザパスワードのローテーション作業 →そもそもルートユーザ不要では?
1.ルートユーザ管理の課題 ▪一方で、ルートユーザの管理には手間がかかる ・新規AWSアカウント作成時のMFA設定作業 ・MFAデバイスの管理 ・ルートユーザパスワードのローテーション作業 →そもそもルートユーザ不要では? この課題、、、 Centralize root accessで解決できます。
2. Centralize root access 使ってみた
2. Centralize root access 使ってみた ▪ Centralize root access とは
AWS Organizationsで導入された、 複数のAWSアカウントにまたがるルートユーザーについて、 一元的に管理および制御する新機能。
2. Centralize root access 使ってみた ▪ Centralize root access でできること
・Organizationsメンバーアカウントの ルートユーザの削除 ※ Centralize root access 有効化後に新規作成したメンバーアカ ウントはデフォルトでルートユーザなしになる ・Organizations管理アカウントによる、 メンバーアカウントでの特権アクション実行 ー 誤って設定された Amazon S3 バケットポリシーの削除 ー 誤って設定された Amazon SQS キューポリシーの削除 ー https://dev.classmethod.jp/articles/root-access-management/
2. Centralize root access 使ってみた ▪Centralize root access の有効化 使用したい機能だけ選ぶことも可能
2. Centralize root access 使ってみた ▪メンバーアカウントでの特権アクションの実行 実施したい特権アクションを選択。 (今回はルートユーザ認証情報の削除 を選択)
2. Centralize root access 使ってみた ▪ルートユーザが削除され、ログイン不可に。 またパスワードの回復も実施不可。
3. 使用開始時の注意点
3.使用開始時の注意点 ▪有効化後、既存メンバーアカウントのルートユーザーは自動的に削除さ れるわけではなく、マネコン・CLI・APIで明示的に削除していく必要がある。 →数十、数百個単位でAWSアカウントを管理している場合は、 ルートユーザ削除のための自動化スクリプトを用意するとよい。 #サンプルコードも公開中 https://aws.amazon.com/jp/blogs/ news/centrally-managing-root-access- for-customers-using-aws-organizations/
3.使用開始時の注意点 ▪新規メンバーアカウントにはルートユーザが作成されないため、初回ログイ ンにルートユーザを使用できない。 →ルートユーザの代わりに、メンバーアカウント作成時に指定したIAMロール を使用して、スイッチロールを行い、環境整備を行う必要がある。
3.使用開始時の注意点 ▪場面は少ないものの、ルートユーザでしかできない設定があるのは確か。 →削除にあたり、どのような場合にルートユーザの再払い出しを認めるかを定義し ておく必要がある。 (再掲:ルートユーザ認証が必須となる作業) ・アカウント設定変更 アカウント名、E メールアドレス、アカウントのクローズ ・未使用のリザーブドインスタンスの販売登録 ・誤操作により、ルートユーザ以外でアクセス不可となった
リソースポリシーの変更
4. まとめ
4.まとめ 多少の注意点はありますが、 Centralize root access を使って、 ルートユーザ管理を楽してみてはいかがでしょうか?
ご清聴ありがとうございました。
kosakayudai
oracle4engineer
nttcom
tkikuchi
yuzneri
peintangos
iotengineer22
loglassjoe
har1101
sansantech
manarobot
yu4u
mame
jonoalderson
codingconduct
katiecoart
uxyall
productmarketing
rkendrick25
chriscoyier
tomoyanonymous
ianozsvald
nonsquared
