はじめに
目的
本記事は、AWSの「12桁のアカウントID」を中心に、その意味や確認方法、使い方、そして似たようなIDや名前の違いをわかりやすく整理することを目的とします。初心者でも安心して読めるよう、具体例を交えて丁寧に説明します。
対象読者
クラウドの基礎を学んでいる方、AWSを使い始めたばかりの方、運用でアカウント周りを扱う担当者を想定しています。技術的な専門知識は不要です。
この記事で学べること
- AWSアカウントIDとは何か(12桁の数字の意味)
- コンソールやコマンドラインでの確認方法
- Canonical user ID、アカウントエイリアス、Organizations上のアカウント名など、混同しやすい「ID/名前」の違い
- 実務で注意すべきポイントと安全な扱い方
本記事の読み方
第2章以降で順に詳しく解説します。まずは本章で全体像をつかみ、必要な章だけを読み進めてください。例:アカウントIDは「123456789012」のような12桁の数字です。どの章も実際の画面やコマンド例を交えて説明します。
AWSアカウントIDとは何か
定義
AWSアカウントIDは、各AWSアカウントを一意に識別する12桁の数字です。見た目は「123456789012」のような形式で、アカウントごとに必ず存在します。
なぜ重要か
アカウントIDは、どのアカウントに属するリソースかを識別する基本情報です。リソースの所有者確認や請求、他アカウントからのアクセス許可で使います。これがないと正確に対象を指定できません。
どこに現れるか
・ARN(Amazon Resource Name)に含まれます。ARNはリソースを一意に示す文字列です。
・ログイン用URLの一部やクロスアカウントアクセスの設定で使います。
付与と変更
アカウントIDはアカウント作成時にAWSが自動で付与します。基本的に変更できません。人に分かりやすい別名(アカウントエイリアス)を設定することは可能です。
セキュリティ上の注意
単体では機密情報ではありませんが、認証情報や権限設定と組み合わさると重要になります。誤って公開すると、特定アカウントを狙った攻撃の手がかりになることがあるため、扱いは慎重に行ってください。
よく見る例
例: 123456789012 がアカウントIDです。管理画面や権限設定で頻繁に目にします。
AWSアカウントIDの確認方法
コンソールで確認する方法
AWSマネジメントコンソールにログインすると、画面右上にアカウントID(12桁の数字)が表示されます。普段お使いの画面からいつでも確認できるため、最も手軽な方法です。表示は通常ユーザー名やアカウントエイリアスの近くにあります。
CLI/スクリプトで確認する方法
プログラムやスクリプトから確認する場合は、STS(Security Token Service)のAPIを使います。CLIの例は以下の通りです。
aws sts get-caller-identity \
--query Account \
--output text
# 例:123456789012
このコマンドは、現在の認証情報(プロファイルや環境変数で指定したもの)で実行しているユーザーやロールが属するアカウントIDを返します。複数のプロファイルを使い分けている場合は、–profile オプションで確認したいプロファイルを指定してください。
注意点
- アカウントIDは12桁の数値です。紛らわしいのでコピーして使うと安全です。
- クロスアカウントで操作している場合、想定と異なるアカウントのIDが返ることがあります。
アカウントID以外にもある、5種類の「ID/名前」概念
AWSアカウントを識別する方法は1つではありません。ここでは混同しやすい5種類を、用途と具体例を交えてやさしく説明します。
1. AWS Account ID(12桁の番号)
公式に一意な数値IDです。クロスアカウントの設定やリソースのARNなどで使います。例:123456789012。
2. Canonical user ID
S3のACLや所有者識別で使う長い文字列です。人が覚えるためのものではなく、S3バケットの所有者確認などで登場します。
3. Account Alias(アカウントエイリアス)
ログイン用の短い文字列で、サインインURLに反映されます。例:my-company-prodの場合、https://my-company-prod.signin.aws.amazon.com/console のように使えます。
4. AWS Account Name(Organizations上のアカウント名)
Organizationsで管理者が付ける表示名です。複数アカウントを整理するためのラベルで、システム的な一意性は保証されません。
5. AWS Account Name(Billingの請求アカウント名)
請求書や請求ダッシュボードに表示される名前です。会計処理や請求連絡で使います。
これらは目的が違います。技術的に一意なのはAccount IDだけで、ほかは表示や特定サービス向けの識別子です。用途に合わせて使い分けてください。
ID系の概念
この章では、AWSで利用される「ID」に関する基本的な概念を分かりやすく説明します。実務でよく使う2種類を中心に、役割と取得方法を具体的に示します。
4-1. AWS Account ID(12桁の番号)
- 役割: AWSアカウントを一意に識別する数値IDです。ARN(リソース名)にも含まれる基本的な識別子で、他アカウントを特定する際に使います。
- 主な利用場面: IAMポリシーでの相手指定、Organizationsでの管理、ログイン用URLやクロスアカウントアクセス設定などで使います。
- 取得方法: マネジメントコンソールの右上で確認できます。CLIでは次のコマンドで確認します。
aws sts get-caller-identity --query Account --output text
4-2. Canonical user ID
- 役割: S3で使われる、AWSアカウントIDを難読化した形式の識別子です。S3バケットのACLやバケット所有者の指定で用います。直接12桁のアカウントIDを書かずに済むため、S3固有の場面で見かけます。
- 取得方法: S3のAPIでバケット所有者情報として取得できます。例:
aws s3api list-buckets --query Owner.ID --output text
出力は長い英数字列になります。
それぞれ用途が異なりますので、場面に応じて使い分けてください。
名前系の概念(人間にわかりやすい「名前」)
概要
名前系の概念は、人間が扱いやすいラベルを指します。数字だけのアカウントIDの代わりに、読みやすい名前を付けることで運用が楽になります。ここでは代表的な2つを説明します。
5-1. Account Alias(アカウントエイリアス)
Account Aliasは12桁のアカウントIDに対応する任意の文字列です。覚えにくい数字の代わりに短い名前を使い、専用のサインインURL(https://.signin.aws.amazon.com/console)でログインできます。1アカウントに対して1つまたは少数のエイリアスを設定できます。APIでの確認例は以下の通りです。
aws iam list-account-aliases \
--query AccountAliases \
--output text
# 例:examplecorp
初期設定として、アカウント取得後すぐにエイリアスを設定しておくと利便性が上がります。
5-2. AWS Account Name(Organizations上のアカウント名)
Organizationsに参加しているアカウントには、Organizations上で表示される”アカウント名”があります。これは組織内で識別しやすくするためのラベルで、OU(組織単位)と合わせて使います。取得例は次の通りです。
aws organizations describe-account \
--account-id 123456789012 \
--query Account.Name
# 例:hogehoge
この名前はAccount Aliasや請求情報の名前とは別の概念です。運用では、エイリアスをログイン用、Organizations名を組織管理用、請求名を請求管理用に使い分けると分かりやすくなります。
