Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Centralize root access 使ってみた

Avatar for KosakaYudai KosakaYudai
March 29, 2026
Technology
2
0

Centralize root access 使ってみた

Centralize root access 使ってみた

Avatar for KosakaYudai

KosakaYudai

March 29, 2026

More Decks by KosakaYudai

See All by KosakaYudai
【アップデート情報共有会】課金請求の原因を突き止めろ ~Amazon Q CLI カスタムエージェントでAWS利用料金を調査してみた~
Avatar for KosakaYudai kosakayudai
0
2
そのアップデート知らないを失くします ~AWSでカスタマイズ情報プラットフォーム作ってみた~
Avatar for KosakaYudai kosakayudai
0
2
そろそろ手動でAWS構成図を 書くのはやめたい ~Amazon Q CLI カスタムエージェントでAWS構成図作成してみた~
Avatar for KosakaYudai kosakayudai
0
2

Other Decks in Technology

See All in Technology
スクラムを支える内部品質の話
Avatar for IIJ_PR iij_pr
0
200
Babylon.js Japan Activities (2026/4)
Avatar for Limes2018 limes2018
0
160
OPENLOGI Company Profile for engineer
Avatar for OPENLOGI hr01
1
62k
トイルを超えたCREは何屋になるのか
Avatar for 弁護士ドットコム bengo4com
0
120
OpenClawでPM業務を自動化
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
2
370
15年メンテしてきたdotfilesから開発トレンドを振り返る 2011 - 2026
Avatar for giginet giginet
PRO
2
270
マルチモーダル非構造データとの闘い
Avatar for shibuiwilliam shibuiwilliam
1
160
Goビルドを理解し、 CI/CDの高速化に挑む
Avatar for sato-shin satoshin
0
110
ハーネスエンジニアリング×AI適応開発
Avatar for Ryohei Kamiya aictokamiya
3
1.4k
OCI技術資料 : ロード・バランサ 概要 - FLB・NLB共通
Avatar for Oracle Cloud Infrastructure ソリューション・エンジニア ocise
4
27k
GitHub Advanced Security × Defender for Cloudで開発とSecOpsのサイロを超える: コードとクラウドをつなぐ、開発プラットフォームのセキュリティ
Avatar for yuriemori yuriemori
1
120
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
5
1.3k

Featured

See All Featured
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
Avatar for soudai sone soudai
PRO
64
53k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Exploring anti-patterns in Rails
Avatar for Elle Meredith aemeredith
3
300
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
780
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
340
30 Presentation Tips
Avatar for Ian Lurie portentint
PRO
1
270
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
310
Exploring the relationship between traditional SERPs and Gen AI search
Avatar for Ray Grieselhuber raygrieselhuber
PRO
2
3.8k
HDC tutorial
Avatar for Michiel Stock michielstock
1
600
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.8k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.4k

Transcript

  1. Centralize root access 使ってみた

  2. 目次 1. ルートユーザ管理の課題 2. Centralize root access 使ってみた 3. 使用開始時の注意点

    4. まとめ

  3. 1.ルートユーザ管理の課題 みなさん、ルートユーザ使っていますでしょうか

  4. 1.ルートユーザ管理の課題 ▪ルートユーザとは AWSアカウントにおけるすべての操作を行うことができる非常に強い権限。

  5. 1.ルートユーザ管理の課題 ▪ルートユーザの使用機会は少ない (ルートユーザ認証が必須となる作業) ・アカウント設定変更 アカウント名、E メールアドレス、アカウントのクローズ ・未使用のリザーブドインスタンスの販売登録 ・誤操作により、ルートユーザ以外でアクセス不可となった リソースポリシーの変更 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management

  6. 1.ルートユーザ管理の課題 ▪一方で、複数アカウントの運用が前提となる現在、 ルートユーザ管理には手間がかかる ・新規AWSアカウント作成時のMFA設定作業 ・MFAデバイスの管理 ・ルートユーザパスワードのローテーション作業 →そもそもルートユーザ不要では?

  7. 1.ルートユーザ管理の課題 ▪一方で、ルートユーザの管理には手間がかかる ・新規AWSアカウント作成時のMFA設定作業 ・MFAデバイスの管理 ・ルートユーザパスワードのローテーション作業 →そもそもルートユーザ不要では? この課題、、、 Centralize root accessで解決できます。

  8. 2. Centralize root access 使ってみた

  9. 2. Centralize root access 使ってみた ▪ Centralize root access とは

    AWS Organizationsで導入された、 複数のAWSアカウントにまたがるルートユーザーについて、 一元的に管理および制御する新機能。

  10. 2. Centralize root access 使ってみた ▪ Centralize root access でできること

    ・Organizationsメンバーアカウントの ルートユーザの削除 ※ Centralize root access 有効化後に新規作成したメンバーアカ ウントはデフォルトでルートユーザなしになる ・Organizations管理アカウントによる、 メンバーアカウントでの特権アクション実行 ー 誤って設定された Amazon S3 バケットポリシーの削除 ー 誤って設定された Amazon SQS キューポリシーの削除 ー https://dev.classmethod.jp/articles/root-access-management/

  11. 2. Centralize root access 使ってみた ▪Centralize root access の有効化 使用したい機能だけ選ぶことも可能

  12. 2. Centralize root access 使ってみた ▪メンバーアカウントでの特権アクションの実行 実施したい特権アクションを選択。 (今回はルートユーザ認証情報の削除 を選択)

  13. 2. Centralize root access 使ってみた ▪ルートユーザが削除され、ログイン不可に。 またパスワードの回復も実施不可。

  14. 3. 使用開始時の注意点

  15. 3.使用開始時の注意点 ▪有効化後、既存メンバーアカウントのルートユーザーは自動的に削除さ れるわけではなく、マネコン・CLI・APIで明示的に削除していく必要がある。 →数十、数百個単位でAWSアカウントを管理している場合は、 ルートユーザ削除のための自動化スクリプトを用意するとよい。 #サンプルコードも公開中 https://aws.amazon.com/jp/blogs/ news/centrally-managing-root-access- for-customers-using-aws-organizations/

  16. 3.使用開始時の注意点 ▪新規メンバーアカウントにはルートユーザが作成されないため、初回ログイ ンにルートユーザを使用できない。 →ルートユーザの代わりに、メンバーアカウント作成時に指定したIAMロール を使用して、スイッチロールを行い、環境整備を行う必要がある。

  17. 3.使用開始時の注意点 ▪場面は少ないものの、ルートユーザでしかできない設定があるのは確か。 →削除にあたり、どのような場合にルートユーザの再払い出しを認めるかを定義し ておく必要がある。 (再掲:ルートユーザ認証が必須となる作業) ・アカウント設定変更 アカウント名、E メールアドレス、アカウントのクローズ ・未使用のリザーブドインスタンスの販売登録 ・誤操作により、ルートユーザ以外でアクセス不可となった

    リソースポリシーの変更

  18. 4. まとめ

  19. 4.まとめ 多少の注意点はありますが、 Centralize root access を使って、 ルートユーザ管理を楽してみてはいかがでしょうか?

  20. ご清聴ありがとうございました。