こんにちは、小林です。
先日、自社でも現場でも管理しているAWSアカウントを整理する必要がありました。
その際に「AWSアカウントのルートユーザー」という単語を出したときに、伝わらなかった(伝え方が下手だったというのもあります)ので、改めて、整理・周知しようかと思った次第です。
というわけで、今回のテーマはこちらです。
AWSにおけるアカウントとはなにか?
アカウントとは?
そもそも、アカウントとは何でしょうか?
Wikipediaによると、以下のように定義されています。
コンピュータ用語でのアカウント (英: account) は、ユーザーがネットワークやコンピュータやサイトなどにログインするための権利のことである。ユーザーに割り当てられたアカウントをユーザーアカウントとも呼ぶ。
引用:アカウント
AWSにおけるアカウントとは?
AWSという文脈では、アカウントというと以下の3つが登場します。
- AWSアカウント
- ルートユーザー
- IAMユーザー
それでは、ひとつずつ説明をしていきます。
AWSアカウント
AWSとの契約の単位。要は1契約につき、1アカウント付与されます。
AWS的にはリソースのコンテナであり、リソースのセキュリティ境界である、と定義されています。
ルートユーザー
AWSアカウントの所有者。AWSアカウントを作成する際に使用したメールアドレス。
このメールアドレスとパスワードを利用して、AWSアカウントにログインすることができますが、普段使いするアカウントではありません。
最初のIAMユーザーを作成したり、契約に関する設定を行ったりすることに使用します。
AdministratorAccessの権限を持つIAMユーザーとは異なります。
IAMユーザー
普段、S3のバケットを作成したり、CloudWatchのログを確認したりするために、作業者一人ひとりに払い出されるアカウントです。
おまけ
ちなみに、クラスメソッド様経由でAWSを契約すると、initial-admin-user-123456789012のようなユーザーを最初に払い出していただきますが、これもIAMユーザーです。
ルートユーザー自体はクラスメソッド様にて管理していただいています。
さいごに
私自身はたまたま以下の機会があったため、これらを明確に区分することができましたが、普段の業務でIAMユーザーしか使用する機会がないのであれば、意識することもないでしょう。
- 自身でAWSと契約した
- クラスメソッド様経由でAWSと契約した
これを機に理解してもらえればと思います。
