ホーム > クイックウィン > ルートの保護

ルートの保護

ルートの使用回避

必須である場合を除き、ルートユーザーやマルチアカウント環境におけるルートアカウントの使用は避けることが推奨されます。

AWS Directory Services (Active Directory / Simple AD)、EC2 上の Active Directory、Okta、Ping Identity、Azure Entra ID、OneLogin などの一元化された ID プロバイダーによるフェデレーションの使用が推奨です。まだ ID プロバイダーを準備してない場合、ディレクトリが実装されるまでの間、ルートユーザーを使用するよりは管理者用の IAM ユーザーを使用する方が望ましいですが、IAM ユーザーの使用はベストプラクティスではないことに注意してください。従業員が退職しても IAM ユーザーの削除を忘れるリスクがあり、関連付けられたアクセスキーは定期的にローテーションをする必要がある永続的な認証情報だからです。

AWS CloudTrail を通じてルートユーザーの使用を監査し、Amazon Simple Notification Service (SNS) 通知で使用アラートを生成することをお勧めします。

ルートユーザーの使用は、以下のようなルート認証情報を必要とする管理タスクに限定してください

緊急時のユーザー管理
支払いオプション
請求情報
連絡先情報の更新

ルートユーザー使用の一元化または無効化

ルートアクセスの一元管理機能を使用することで、メンバーアカウント毎のルートユーザーを管理・保護する必要がなくなります。これにより、MFA やここで説明しているベストプラクティスを用いて 1 つのルートアカウントのみを保護すればよくなります。

Centralize Root

または、AWS Control Tower を使用してメンバーアカウントのルートユーザーのすべてのアクションを拒否することもできます。

Control Tower を使用してルートを無効化する

Service Control Policies (SCP) も使用できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
    "Sid": "RestrictRootOnMemberAccounts",
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ]} }
    }
  ]
}

ルートユーザーに関する追加のベストプラクティス

アクセスキーの削除: アカウントのすべての AWS のサービスとリソースへのフルアクセスが可能であり、最小権限の原則に沿っていないため、ルートでアクセスキーを有効にすべきではありません
アクセスおよび使用状況のモニタリング: ルートユーザーの使用は避けるべきであり、ルートユーザーのログインが行われた際にアラートを設定することをお勧めします。
マルチアカウント環境では、AWS Control Tower または SCP を使用してメンバーアカウントのルートユーザーのすべてのアクションを拒否することが望ましいです。
組織の管理アカウントはサービスコントロールポリシー (SCP) の影響を受けないため、管理アカウントのルートユーザーに MFA を実装することが重要です。
複数人の承認によるルートユーザーのサインイン: ユーザーが単独でルートユーザーにアクセスできないようにするために、複数人による承認を求めることを検討してください。パスワードにアクセスできる管理者グループと MFA にアクセスできる管理者グループを設定することでセキュリティを強化できます。ルートユーザーの認証情報を使用してサインインするには、各グループから 1 人のメンバーが必要です。
ルートユーザーに MFA を設定することで、バイパス手順 (MFA デバイスの紛失または故障) も強化されます。セキュリティ連絡先の推奨事項も参照してください。

確認方法

AWS Security Hub セキュリティ基準：
- [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません
- [IAM.9] ルートユーザーに対して MFA を有効にする必要があります
- [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります
- AWS CloudWatchを使用してルートの使用を検出する場合：[CloudWatch.1] ルートユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

主なリスクと軽減

[認証情報の取得 (Credential Access)] - 組織のメールサーバーを侵害した不正ユーザーが、ルートパスワードをリセットして AWS アカウントにアクセスしようとする可能性がありますが、MFA で無効化または保護されている場合は防げます。
説明責任: 使用状況のモニタリングにより、調査員が特定の時点で誰がルートユーザーだったかの特定が容易になります。
定義上、ルートユーザーは最小権限の原則に準拠していません。ルートユーザーの日常的で頻繁な使用を回避することで、不正ユーザーがこれらの認証情報を入手してより大きな被害を与えるリスクを軽減できます。

評価のガイダンス

ルートユーザー認証情報はどのように保護していますか？MFA を使用していますか？他に何か使用していますか？
定期的にルートを使用していますか？ルートユーザーに設定されたアクセスキーはありますか？
組織のルートアクセスの一元管理機能、AWS Control Tower または SCP ですべてのメンバーアカウントのルートユーザーを制限していますか？