[AWS] ルートアカウントでしかできないことをまとめ(中)てみた。

こんにちは、与儀です。

突然ですが、AWSのルートアカウントとIAMユーザはご存知でしょうか?

ざっくり説明すると、ルートアカウントは、AWSアカウント作成時に使うアカウントで、ログイン時にメールアドレスとパスワード(と設定されていれば、多要素認証も)を使ってログインするアカウントです。IAMユーザは、ログイン時に専用のURLから、IAMユーザ名とパスワード(と設定されていれば、多要素認証も)を使ってログインするアカウントのことです。(ざっくりすぎ。)

ルートアカウントの認証情報と IAM ユーザーの認証情報

また、ルートアカウントの通常利用は禁止することをセキュリティ的に推奨されています。
というのも、ルートアカウントは権限の制御ができず、なんでもできてしまう権限の為、
万が一悪意のあるユーザにアカウント情報が漏洩してしまった場合は、危険です。

ということで、通常利用・運用時は権限が制限されたIAMユーザを利用することが推奨されており、
そうしている方も多いと思いますが、ルートアカウントでしかできない操作、というのがあり、
しばしばルートアカウントでログインしなおすことがありますので、
こちらで簡単にまとめ(中)てみます。

ルートアカウントでしかできないこと

EC2メール送信制限解除申請(IPアドレス逆引き申請)

Request to Remove Email Sending Limitations

侵入テスト申請

侵入テスト

CloudFrontのキーペア作成

信頼された署名者の CloudFront キーペアを作成する

AWSサポートプランの変更

サポートプラン

請求情報に対する IAM ユーザーアクセスの許可

請求の情報およびツールへのアクセス許可

その他にもあれば随時更新します。(メモ用です。。)