メインコンテンツまでスキップ

AWS 管理アカウントの root ユーザー認証情報

AWS 管理アカウントは、AWS 組織を作成する際に使用されるアカウントです。支払者アカウントであり、メンバーアカウントが発生させたすべての料金を支払います(AWS Organizations の用語と概念 を参照)。

DoiT は請求管理のため、AWS 管理アカウント(以前は Master Payer Account(MPA)と呼称)の root ユーザー認証情報を共同所有します。AWS のメンバーアカウントの root ユーザーへのアクセスは要求しません。

なぜ DoiT は AWS 管理アカウントの root ユーザー認証情報を保有するのですか?

DoiT は、AWS 組織の支払者アカウントである AWS 管理アカウントの root ユーザー認証情報を、請求管理のために保有します。

Amazon は、DoiT のようなパートナーが請求に関する問題で Amazon とやり取りする際、支払者アカウントの root ユーザー認証情報を使用することを求めています。

加えて、管理アカウントの root ユーザーのメールアドレスは、DoiT が保有する一意のメールアカウントに設定します。このメールは配布リストであり、お客様の組織が保有するメールアドレスをこのグループに追加できます。これにより、root アカウント宛に送信されるすべてのメールを継続して受信できます。

当社のエキスパート問い合わせシステムは、その特定のアドレスに送られたメールに基づいてリクエストを自動作成・更新します。これにより、Forward Deployed Engineering(FDE)チームがエキスパート問い合わせを通じて、お客様である貴社とアカウントの更新情報を共有できます。

AWS 管理アカウントの root ユーザー認証情報の共同所有

DoiT は、セキュリティと透明性を高める新しいアプローチとして、お客様と root ユーザー認証情報を共同所有します。これにより、DoiT とお客様の双方が root ユーザー認証情報にアクセスでき、お客様にとって追加のセキュリティとコントロールの層が提供されます。

貴社のチームへの影響

DoiT は管理アカウントの root ユーザー認証情報を、請求管理の目的のみに使用します。

お客様には root ユーザーアクセスを提供し、貴社のために IAM ロールの作成や当該アカウントへのアクセス管理を行えるようにします。管理アカウントへのすべてのアクセス要求は、会社内部で対応してください。これは AWS の アカウントの root ユーザーを保護するためのベストプラクティス に合致します。

DoiT は管理アカウントの root ユーザー認証情報をどのように保護・保管しますか?

DoiT は管理アカウントの root ユーザー認証情報をセキュアなボールトに保管します。セキュアボールトへアクセスできるのは、特定の DoiT 従業員のグループのみです。当社はアクセスを監査し、実施内容をroot ユーザー認証情報が必要なタスク に限定します。もしお客様が DoiT とのパートナーシップを終了される場合、認証情報の所有権をお客様に戻します。

AWS 管理アカウントの root ユーザー認証情報を DoiT のメールアドレスに更新した後、当社はパスワードに対処し、AWS 管理アカウントに多要素認証(MFA)を有効化します。また、新しいパスワードを暗号化し、専用ソフトウェアでボールト管理します。

パスワードの取り扱いには 2 つのシナリオがあります。

  • 既存のパスワードを維持したい場合:当社からセキュアなワンタイムリンクを送付します。そのリンクを使用してパスワードを当社と共有できます。

  • パスワードを変更したい場合:当社からセキュアに生成したパスワードをワンタイムリンクで送付します。

いずれのシナリオでも、認証情報が安全に取り扱われることを確実にします。

DoiT は業界最高水準のセキュリティスタンダードで運用しています。当社の認証およびコンプライアンス標準については、DoiT compliance offerings をご覧ください。

DoiT は管理アカウントの root ユーザー認証情報をどのようにリリースしますか?

共同所有ポリシーの一環として、お客様はすでに root ユーザー認証情報へアクセスできます。この共同所有により、お客様に追加のセキュリティとコントロールの層が提供されます。

追加で想定されるシナリオは 2 つあります。

  • アカウントのクローズ

  • リバースアサンプション(お客様がアカウントの請求所有権を引き受けること)

アカウントをクローズする場合、root ユーザー認証情報は「行き止まり」となります。DoiT による破棄は不要です。

DoiT とのマネージドサービスを終了する場合は、リバースアサンプションのプロセスに従い、root ユーザー認証情報をお客様が定義した内容へ変更します。

Root ユーザー認証情報の使用方法

DoiT は root ユーザー認証情報の使用を最小限に抑えています。主にオンボーディング時に使用し、請求に関する問題で AWS と連絡する必要がある場合のみに限定します。通常の運用活動では IAM ロールを利用し、これはアカウントセキュリティに関する AWS のベストプラクティスに合致します。このアプローチにより、root ユーザー認証情報が不必要なリスクにさらされることを防ぎます。

最終更新