✂️

AWS アカウントと Amazon.com アカウントの切り離し

2023/08/22に公開

あまり遭遇しなさそうな事象に遭遇したので備忘録がてら。

サマリ

  • 古くからあるAWSアカウントのルートユーザーにログインした際、パスワードリセットを求められたら Amazon.com とのアカウント分離が原因かも
  • その場合 Requirement: Create a new Amazon Web Services password というメールが来ているはずなので登録しているメールアドレスを確認すると良い
  • たまにはルートユーザー入れるか確認しておいた方が良いかも

起きたこと

先日、必要があって AWS のルートユーザーに久しぶりにログインした際に Amazon.com へのログインとパスワード変更を求められたことがありました。

古くに作られた AWS アカウントが裏で Amazon.com アカウントを作成し紐付けてしまう事象についてはよく話を聞くので知ってはいました。(それっぽい記事↓)

https://yoshidashingo.hatenablog.com/entry/2016/01/19/010700
https://zenn.dev/moya_dev/articles/da45edc2bb5e75

ですがパスワードリセットが求められる、という話はあまり聞いたことがなく、サポートに問い合わせたりしつつおっかなびっくりリセットをすることに。

Amazon.com のパスワードをリセットすると、引き続き AWS アカウントのパスワードもリセットさせられ、ここまで完了したら無事 AWS のルートユーザーにログインすることができました。

アカウント分離を依頼した

AWS と Amazon.com アカウントが紐づいたままだとこのような面倒なことがまた発生しそうだと思い調べていたところ、re:Post に以下の投稿を見つけました。

As of now, we do not have an option to separate AWS Accounts from their Amazon.com account, but we know that this has been an inconvenience for our customers, so we're working to have coupled accounts separated. As this project is still on the works, we cannot share more details or a specific date for the rollout until we're closer to it being completed. We appreciate your understanding on this.

On deep diving further with the service team, they have confirmed that currently we can only decouple an account if a customer is willing to lose their Amazon.com/retail account. In such a case scenario, a customer can open up a support ticket with our Accounts and Billing team to submit a request for the same.

https://repost.aws/questions/QU7G1Nr9gsTuGzt0yUe7Z3qw/how-can-a-root-aws-account-be-decoupled-from-an-amazon-com-retail-account

ざっくり要約すると以下の通り。

  • AWS と Amazon.com アカウントの紐付けをユーザー側で切る方法は現状ない
  • 不便なのは理解しているのでアカウントの紐付けを順次切っていってる
  • Amazon.com アカウントが不要な場合、サポートに問い合わせれば紐付け切れる
  • Amazon.com アカウントが必要な場合、紐付けが切れるまで待って

今回の環境では Amazon.com アカウントが不要だったので、回答を信じてサポートに分離を依頼しました。

もう分離されてた

ケース起票からしばらく経って、返ってきたのが「すでに切り離しが完了していることがわかりました」という回答でした。

担当部署にてアカウントの分離を行った際、ログイン情報もきちんと分離させるために Amazon.com と AWS アカウントのパスワードの変更を求められるとのこと。

まあ対応としては正しいけど、びっくりしちゃうからちゃんと通知してくれよ、とちょっと思っていたのですが、以下の Qiita 記事を見て切り離しを行った場合はメールが届くようになっているらしいと知ります。

https://qiita.com/SAITO_Keita/items/9ebbcb3a3dd524ade807

改めて自分のメールボックスを確認したら、まさに Requirement: Create a new Amazon Web Services password と書かれているメールを発見し、無事自分が見落としていたことを理解したのでした。すみません。

たまにはルートアカウントに入った方が良さそう

さて今回の件を経ての雑な教訓を一言。たまにはルートアカウントに入っとくべきだなと思いました。

AWS のベストプラクティスはルートアカウントは MFA つけて基本使わない、ですが、特定の場面でどうしてもルートユーザーを使う必要があります。

緊急度が高い場合もあると思うので、いざという時にルートアカウントには入れない、となるとなかなか不便です。しかもルートアカウントでなんかやらかすのはお気持ち的にも怖いし。

ということで、たまには避難訓練的にログイン確認しておいた方がいいなと思った次第でした。

Discussion