AWS IAMでルートアクセスを集中管理できるようになったので、検証してみました。
アップデート概要
AWS Organizations のメンバーアカウントの不要なルート認証情報を削除し、一時的な認証情報を使用して特権アクションを実行できるようなった
→ルートを一元管理することで、リスクを低減できる特権アクションとして、S3バケットポリシーとSQSキューポリシーの削除が可能
→メンバーアカウントでポリシー設定を誤るとルートでログインする必要があったが、特権アクションによりルートアカウントから削除が可能
ルートアクセス管理を有効化
「IAM」→「Root access management」を有効化します。
「Root credentials management」と「Privileged root actions in member accounts」にチェックを付けて、「有効化」します。
特権アクションでメンバーアカウントのルート認証情報を削除してみる
有効化が完了するとOrganizationsの構成が表示されます。
対象アカウントを選択肢し、「特権的なアクションを実行する」を押下します。
この画面で、S3バケットポリシーとSQSキューポリシーの削除、ルート認証情報を削除できます。
「Delete root user credentials」を選択し、実行します。
最後に「確認」と入力し、「削除」ボタンを押します。
削除成功の表示が出ます。
このタイミングで、メンバーアカウントのMFAが削除された旨のメール通知が届きます。
試しに、メンバーアカウントにルートでログインすると、認証が失敗することが確認できます。
パスワードリセットを試みても失敗します。
再度、「特権的なアクションを実行する」を確認すると、「Allow password recovery」に変わっているので、これを実行することでパスワードリセットができるようになります。
ちなみに、S3バケットポリシーはURI、SQSキューポリシーはARNを指定して削除するようです。
まとめ
ルートアカウントを複数管理している方にとってはありがたい機能だと思います。
上手に活用して、ルート認証情報に対するリスク低減を目指しましょう。
