Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Centralize root access 使ってみた

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for KosakaYudai KosakaYudai
March 29, 2026
Technology
3
0

Centralize root access 使ってみた

Centralize root access 使ってみた

Avatar for KosakaYudai

KosakaYudai

March 29, 2026

More Decks by KosakaYudai

See All by KosakaYudai
【アップデート情報共有会】課金請求の原因を突き止めろ ~Amazon Q CLI カスタムエージェントでAWS利用料金を調査してみた~
Avatar for KosakaYudai kosakayudai
0
3
そのアップデート知らないを失くします ~AWSでカスタマイズ情報プラットフォーム作ってみた~
Avatar for KosakaYudai kosakayudai
0
4
そろそろ手動でAWS構成図を 書くのはやめたい ~Amazon Q CLI カスタムエージェントでAWS構成図作成してみた~
Avatar for KosakaYudai kosakayudai
0
3

Other Decks in Technology

See All in Technology
2026年6月23日 Syncable Tech + Start Python Club にて
Avatar for Kimikazu Kato hamukazu
0
150
AIチャット検索改善の3週間
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
2
160
Agile and AI Redmine Japan 2026
Avatar for Kenji Hiranabe hiranabe
4
450
AI 不只幫你寫 Code: 當專案從 300 暴增到 1500, 我們如何撐住 DevOps
Avatar for Bo-Yi Wu appleboy
0
150
脱SaaS!FDEを支えるプロビジョニングと分離設計
Avatar for Kenichi SUZUKI knih
0
260
自宅LLMの話
Avatar for Kazuto Kusama jacopen
1
710
螺旋型キャリアの生存戦略 / kinoko-conf2026
Avatar for Rakus_Dev rakus_dev
1
810
生成 AI 実践ガイド (概略版) AIガバナンス編
Avatar for Asei Sugiyama asei
0
170
レガシーな広告配信システムでのAI駆動開発/運用の挑戦
Avatar for りゅうせい i16fujimoto
0
110
ロボティクスの技術 / Robotics Technology
Avatar for Kenji Saito ks91
PRO
0
130
ザ・データベース、MySQL ~ OSC 2026 Sendai ~
Avatar for sakaik sakaik
0
180
GitHub Copilot app最速の発信の裏側
Avatar for tomokusaba tomokusaba
1
240

Featured

See All Featured
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
170
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
960
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
672
58k
Tips & Tricks on How to Get Your First Job In Tech
Avatar for Honza Javorek honzajavorek
1
540
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
220k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
25k
Fireside Chat
Avatar for paigeccino paigeccino
42
4k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.4k
We Are The Robots
Avatar for Honza Javorek honzajavorek
0
250
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
1
320
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
230
23k

Transcript

  1. Centralize root access 使ってみた

  2. 目次 1. ルートユーザ管理の課題 2. Centralize root access 使ってみた 3. 使用開始時の注意点

    4. まとめ

  3. 1.ルートユーザ管理の課題 みなさん、ルートユーザ使っていますでしょうか

  4. 1.ルートユーザ管理の課題 ▪ルートユーザとは AWSアカウントにおけるすべての操作を行うことができる非常に強い権限。

  5. 1.ルートユーザ管理の課題 ▪ルートユーザの使用機会は少ない (ルートユーザ認証が必須となる作業) ・アカウント設定変更 アカウント名、E メールアドレス、アカウントのクローズ ・未使用のリザーブドインスタンスの販売登録 ・誤操作により、ルートユーザ以外でアクセス不可となった リソースポリシーの変更 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management

  6. 1.ルートユーザ管理の課題 ▪一方で、複数アカウントの運用が前提となる現在、 ルートユーザ管理には手間がかかる ・新規AWSアカウント作成時のMFA設定作業 ・MFAデバイスの管理 ・ルートユーザパスワードのローテーション作業 →そもそもルートユーザ不要では?

  7. 1.ルートユーザ管理の課題 ▪一方で、ルートユーザの管理には手間がかかる ・新規AWSアカウント作成時のMFA設定作業 ・MFAデバイスの管理 ・ルートユーザパスワードのローテーション作業 →そもそもルートユーザ不要では? この課題、、、 Centralize root accessで解決できます。

  8. 2. Centralize root access 使ってみた

  9. 2. Centralize root access 使ってみた ▪ Centralize root access とは

    AWS Organizationsで導入された、 複数のAWSアカウントにまたがるルートユーザーについて、 一元的に管理および制御する新機能。

  10. 2. Centralize root access 使ってみた ▪ Centralize root access でできること

    ・Organizationsメンバーアカウントの ルートユーザの削除 ※ Centralize root access 有効化後に新規作成したメンバーアカ ウントはデフォルトでルートユーザなしになる ・Organizations管理アカウントによる、 メンバーアカウントでの特権アクション実行 ー 誤って設定された Amazon S3 バケットポリシーの削除 ー 誤って設定された Amazon SQS キューポリシーの削除 ー https://dev.classmethod.jp/articles/root-access-management/

  11. 2. Centralize root access 使ってみた ▪Centralize root access の有効化 使用したい機能だけ選ぶことも可能

  12. 2. Centralize root access 使ってみた ▪メンバーアカウントでの特権アクションの実行 実施したい特権アクションを選択。 (今回はルートユーザ認証情報の削除 を選択)

  13. 2. Centralize root access 使ってみた ▪ルートユーザが削除され、ログイン不可に。 またパスワードの回復も実施不可。

  14. 3. 使用開始時の注意点

  15. 3.使用開始時の注意点 ▪有効化後、既存メンバーアカウントのルートユーザーは自動的に削除さ れるわけではなく、マネコン・CLI・APIで明示的に削除していく必要がある。 →数十、数百個単位でAWSアカウントを管理している場合は、 ルートユーザ削除のための自動化スクリプトを用意するとよい。 #サンプルコードも公開中 https://aws.amazon.com/jp/blogs/ news/centrally-managing-root-access- for-customers-using-aws-organizations/

  16. 3.使用開始時の注意点 ▪新規メンバーアカウントにはルートユーザが作成されないため、初回ログイ ンにルートユーザを使用できない。 →ルートユーザの代わりに、メンバーアカウント作成時に指定したIAMロール を使用して、スイッチロールを行い、環境整備を行う必要がある。

  17. 3.使用開始時の注意点 ▪場面は少ないものの、ルートユーザでしかできない設定があるのは確か。 →削除にあたり、どのような場合にルートユーザの再払い出しを認めるかを定義し ておく必要がある。 (再掲:ルートユーザ認証が必須となる作業) ・アカウント設定変更 アカウント名、E メールアドレス、アカウントのクローズ ・未使用のリザーブドインスタンスの販売登録 ・誤操作により、ルートユーザ以外でアクセス不可となった

    リソースポリシーの変更

  18. 4. まとめ

  19. 4.まとめ 多少の注意点はありますが、 Centralize root access を使って、 ルートユーザ管理を楽してみてはいかがでしょうか?

  20. ご清聴ありがとうございました。