AWSアカウント開設および運用権限委譲手順書

本ドキュメントは、お客様(以下、甲)にてAWSアカウントを新規に開設し、構築・運用を担当する弊社(以下、乙)へ作業用アカウント(権限)を提供するまでの手順、および構築後の運用体制についてまとめたものです。

1. 全体プロセス概要

フェーズ実施者内容
Step 1AWSルートアカウント(契約主体)の新規作成
Step 2ルートユーザーのセキュリティ設定 (MFA)
Step 3乙(弊社)用管理者ユーザーの作成と招待
Step 4AWS環境の構築作業
Step 5甲/乙構築完了・運用フェーズへの移行確認

2. 詳細手順

Step 1: AWSアカウントの新規作成(お客様作業)

AWSの契約主体となるお客様ご自身でアカウントを作成していただきます。

  1. サインアップページへアクセス
    • AWSポータル へアクセスし、「AWSアカウントを今すぐ作成」をクリックします。
  2. アカウント情報の入力
    • ルートユーザーのEメールアドレス: 管理用メーリングリストなどの使用を推奨します(例: aws-admin@company.com)。
    • AWSアカウント名: 会社名やプロジェクト名など、識別しやすい名前を入力します。
  3. 認証コードの入力
    • 登録メールアドレスに届く認証コードを入力します。
  4. パスワード設定
    • 強固なパスワードを設定してください。
  5. 連絡先情報の入力
    • 「ビジネス – 仕事向け」を選択し、貴社の住所・電話番号等を入力します。
  6. 請求情報の入力
    • クレジットカードまたはデビットカード情報を入力します。
    • ※AWS利用料は、ここに入力されたカードへAmazon Web Servicesから直接請求されます。
  7. 本人確認
    • SMS(ショートメッセージ)または音声電話による本人確認を行います。
  8. サポートプランの選択
    • 初期状態では「ベーシックサポート(無料)」を選択してください。(構築フェーズで必要に応じて弊社よりプラン変更を依頼する場合があります)

Step 2: ルートユーザーのセキュリティ設定(お客様作業)

アカウント作成直後の「ルートユーザー」は全ての操作が可能な最強の権限を持っています。セキュリティのため、多要素認証(MFA)を必ず設定してください。

  1. コンソール右上のアカウント名をクリックし、「セキュリティ認証情報」を選択。
  2. 「多要素認証(MFA)」セクションで「MFAデバイスの割り当て」をクリック。
  3. デバイス名(例: Root-MFA)を入力し、認証アプリ(Google Authenticator等)を使用してQRコードを読み込み、表示されるコードを2回分入力して設定を完了します。

Step 3: 構築・運用ベンダー用ユーザーの作成(お客様作業)

弊社(乙)が構築作業を行うための「管理者権限を持つIAMユーザー」を作成し、ログイン情報を共有いただきます。

※セキュリティ上、ルートユーザーのパスワードは絶対に共有しないでください。

  1. ルートユーザーでAWSマネジメントコンソールにログインします。
  2. 上部の検索窓で「IAM」と検索し、IAMダッシュボードを開きます。
  3. 左メニューの「ユーザー」をクリックし、「ユーザーの作成」ボタンを押下します。
  4. ユーザーの詳細
    • ユーザー名: vendor-admin (または弊社指定の名前)
    • AWSマネジメントコンソールへのアクセスを提供する: チェックを入れる
    • IDセンターでユーザーを指定: ここでは選択せず、「IAMユーザーを作成したい」を選択(※簡易手順のため)
    • コンソールパスワード: 「自動生成パスワード」を選択
    • パスワードのリセットが必要: チェックを外す(推奨)
  5. 許可のオプション
    • 「ポリシーを直接アタッチする」を選択。
    • 許可ポリシーの一覧から AdministratorAccess にチェックを入れる。
  6. 「次へ」→「ユーザーの作成」をクリック。
  7. 重要:認証情報のダウンロード
    • .csvファイルをダウンロード ボタンを押し、CSVファイルを保存してください。
    • この画面を閉じると、パスワードは二度と確認できません。

【情報の共有方法】

ダウンロードしたCSVファイル、または以下の情報を**安全な方法(Zip暗号化や、チャットとメールの分割送付など)**で弊社担当者へ送付してください。

  • コンソールログインURL
  • ユーザー名
  • パスワード

3. 構築完了後の運用イメージ

構築完了後、運用フェーズにおける役割分担と権限管理のイメージは以下の通りです。

A. 弊社による「運用保守サポート」をご契約いただく場合

弊社が継続してシステムの監視・障害対応・設定変更を行います。

  • アカウント権限:
    • 弊社は引き続き AdministratorAccess (管理者権限)またはそれに準ずる権限を保持します。
    • 監視ツールやログ収集設定を維持管理します。
  • お客様の役割:
    • AWSからの請求支払い確認。
    • ビジネス上の要件変更時の弊社への指示。

B. 構築のみで、運用はお客様自社で行う場合(引渡し)

構築完了後、弊社のアクセス権限を削除・縮小し、お客様へ完全に引き渡します。

  • 引き渡し手順:
    1. 弊社にて環境関連資料を提出。
    2. お客様にて、Step 3で作成した弊社用IAMユーザー(vendor-admin)を削除、または無効化。
    3. これ以降、弊社はAWS環境へアクセスできなくなります。

4. 支払い・請求について

  • AWS利用料:
    • Step 1で登録いただいたクレジットカードに対して、AWS(Amazon Web Services)から直接請求されます。
    • 弊社からの請求には含まれません(※リセール契約などの場合は除く)。
  • 請求書管理:
    • AWSコンソールの「Billing Dashboard」より、毎月の請求明細やPDF請求書をダウンロード可能です。

5. 注意事項

  • ルートユーザーの管理: ルートユーザーのメールアドレスとパスワード、MFAデバイスは、貴社の最高管理者のみが管理し、通常業務や弊社への共有には使用しないでください。
  • 予算アラート: 予期せぬ高額請求を防ぐため、初期構築時に弊社にて「予算アラート(Budget)」を設定することを推奨します。

以上

1 2