メニュー
Amazon Route 53
開発者ガイド (API Version 2013-04-01)

Amazon Route 53 でアイデンティティベースのポリシー (IAM ポリシー) を使用する

このトピックでは、アカウント管理者が IAM ID (ユーザー、グループ、ロール) にアクセス権限ポリシーをアタッチし、それによって Amazon Route 53 リソースでオペレーションを実行するアクセス権限を付与する方法を示すアイデンティティベースのポリシーの例を示します。

重要

初めに、Amazon Route 53 リソースへのアクセスを管理するための基本概念とオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「Amazon Route 53 リソースへのアクセス権限の管理の概要」を参照してください。

以下の例に示しているのは、アクセス権限ポリシーです。Sid (ステートメント ID) はオプションです。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AllowPublicHostedZonePermissions", "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53:UpdateHostedZoneComment", "route53:GetHostedZone", "route53:ListHostedZones", "route53:DeleteHostedZone", "route53:ChangeResourceRecordSets", "route53:ListResourceRecordSets", "route53:GetHostedZoneCount", "route53:ListHostedZonesByName" ], "Resource": "*" }, { "Sid" : "AllowHealthCheckPermissions", "Effect": "Allow", "Action": [ "route53:CreateHealthCheck", "route53:UpdateHealthCheck", "route53:GetHealthCheck", "route53:ListHealthChecks", "route53:DeleteHealthCheck", "route53:GetCheckerIpRanges", "route53:GetHealthCheckCount", "route53:GetHealthCheckStatus", "route53:GetHealthCheckLastFailureReason" ], "Resource": "*" } ] }

ポリシーには、2 つのステートメントが含まれています。

  • 最初のステートメントでは、パブリックホストゾーンとそのリソースレコードセットの作成と管理に必要なアクションに対する権限が付与されます。Amazon リソースネーム (ARN) にワイルドカード文字 (*) が使用されていると、現在の AWS アカウントにより所有されているすべてのホストゾーンへのアクセスが許可されます。

  • 2 番目のステートメントでは、ヘルスチェックの作成と管理に必要なすべてのアクションに対する権限が付与されます。

各アクションを使用するアクセス権限を付与または拒否するために指定するアクションおよび ARN のリストについては、「Amazon Route 53 API のアクセス権限: アクション、リソース、条件リファレンス」を参照してください。

Amazon Route 53 コンソールを使用するために必要なアクセス権限

Amazon Route 53 コンソールへのフルアクセスを許可するには、次のアクセス権限ポリシーでアクセス権限を付与します。

Copy
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "route53:*", "route53domains:*", "cloudfront:ListDistributions", "elasticloadbalancing:DescribeLoadBalancers", "elasticbeanstalk:DescribeEnvironments", "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketWebsite", "ec2:DescribeVpcs", "ec2:DescribeRegions", "sns:ListTopics", "sns:ListSubscriptionsByTopic", "sns:CreateTopic", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms", "cloudwatch:GetMetricStatistics" ], "Resource":"*" } ] }

アクセス権限が必要な理由は次のとおりです。

route53:*

以下のアクションを除くすべての Amazon Route 53 アクションを実行できます。

  • [Alias Target] の値が CloudFront ディストリビューション、Elastic Load Balancing ロードバランサー、Elastic Beanstalk 環境、または Amazon S3 バケットであるエイリアスリソースレコードセットを作成および更新する。(これらの権限があると、[Alias Target] の値が同じホストゾーン内の別のリソースレコードセットであるエイリアスリソースレコードセットを作成できます)。

  • プライベートホストゾーンを操作する。

  • ドメインを操作する。

  • CloudWatch アラームを作成、削除、および表示する。

  • Amazon Route 53 コンソールで CloudWatch メトリクスをレンダリングする。

route53domains:*

ドメインの操作を許可します。

重要

route53 のアクションを個別にリストする場合は、route53:CreateHostedZone を含めてドメインを操作する必要があります。ドメインを登録すると同時にホストゾーンも作成されるため、ドメインを登録する権限を含むポリシーにはホストゾーンを作成する権限も必要です

(ドメイン登録について、Amazon Route 53 は個別のリソースへのアクセス権限の付与または拒否をサポートしていません)。

cloudfront:ListDistributions

[Alias Target] の値が CloudFront ディストリビューションであるエイリアスリソースレコードセットを作成および更新できます。

Amazon Route 53 コンソールを使用していない場合、これらのアクセス権限は必要ありません。Amazon Route 53 は、コンソールに表示されるディストリビューションのリストを取得する場合のみ、これを使用します。

elasticloadbalancing:DescribeLoadBalancers

[Alias Target] の値が ELB ロードバランサーとなるエイリアスリソースレコードセットを作成および更新できます。

Amazon Route 53 コンソールを使用していない場合、これらのアクセス権限は必要ありません。Amazon Route 53 は、コンソールに表示するロードバランサーのリストを取得する場合にのみ、これを使用します。

elasticbeanstalk:DescribeEnvironments

[Alias Target] の値が Elastic Beanstalk 環境であるエイリアスリソースレコードセットを作成および更新できます。

Amazon Route 53 コンソールを使用していない場合、これらのアクセス権限は必要ありません。Amazon Route 53 は、コンソールに表示される環境のリストを取得する場合のみ、これを使用します。

s3:ListBuckets3:GetBucketLocation、および s3:GetBucketWebsite

[Alias Target] の値が Amazon S3 バケットであるエイリアスリソースレコードセットを作成および更新できます (Amazon S3 バケットのエイリアスは、バケットがウェブサイトエンドポイントとして設定されている場合のみ作成できます。s3:GetBucketWebsite は必要な設定情報を取得します)。

Amazon Route 53 コンソールを使用していない場合、これらのアクセス権限は必要ありません。Amazon Route 53 は、コンソールに表示されるバケットのリストを取得する場合のみ、これを使用します。

ec2:DescribeVpcs および ec2:DescribeRegions

プライベートホストゾーンの操作を許可します。

sns:ListTopicssns:ListSubscriptionsByTopicsns:CreateTopiccloudwatch:DescribeAlarmscloudwatch:PutMetricAlarmcloudwatch:DeleteAlarms

CloudWatch アラームを作成、削除、および表示できます。

cloudwatch:GetMetricStatistics

CloudWatch メトリクスヘルスチェックを作成することができます。

Amazon Route 53 コンソールを使用していない場合、これらのアクセス権限は必要ありません。Amazon Route 53 は、コンソールに表示する統計情報を取得するためだけに使用します。

Amazon Route 53 での AWS 管理 (事前定義) ポリシー

AWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応します。これらの AWS 管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすことができます。詳細については、『IAM ユーザーガイド』の「AWS 管理ポリシー」を参照してください。Amazon Route 53 の場合、IAM には 4 つの管理ポリシーが用意されています。

  • AmazonRoute53FullAccess – Amazon Route 53 リソースへのフルアクセスを許可します。

  • AmazonRoute53ReadOnlyAccess – Amazon Route 53 リソースへの読み取り専用アクセスを許可します。

  • AmazonRoute53DomainsFullAccess – Amazon Route 53 ドメイン登録リソースへのフルアクセスを許可します。

  • AmazonRoute53DomainsReadOnlyAccess – Amazon Route 53 ドメイン登録リソースへの読み取り専用アクセスを許可します。

注記

IAM コンソールにサインインし、特定のポリシーを検索することで、これらのアクセス権限ポリシーを確認することができます。独自のカスタム IAM ポリシーを作成して、Amazon Route 53 API オペレーションにアクセス権限を付与することもできます。これらのカスタムポリシーは、それらのアクセス権限が必要な IAM ユーザーまたはグループにアタッチできます。

お客様が管理するポリシーの例

独自のカスタム IAM ポリシーを作成して、Amazon Route 53 アクションにアクセス権限を付与することもできます。これらのカスタムポリシーは、指定されたアクセス権限が必要な IAM ユーザーまたはグループにアタッチできます。Amazon Route 53 API、AWS SDK、または AWS CLI を使用している場合、これらのポリシーは機能します。次の例では、いくつかの一般的ユースケースのアクセス権限を示します。Amazon Route 53 へのフルアクセスをユーザーに許可するポリシーについては、「Amazon Route 53 コンソールを使用するために必要なアクセス権限」を参照してください。

例 1: すべてのホストゾーンへの読み取りアクセスを許可する

以下の権限ポリシーは、すべてのホストゾーンをリストし、ホストゾーン内のすべてのリソースレコードセットを表示するユーザー権限を付与します。

Copy
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "route53:GetHostedZone", "route53:ListResourceRecordSets" ], "Resource":"*" }, { "Effect":"Allow", "Action":["route53:ListHostedZones"], "Resource":"*" } ] }

例 2: ホストゾーンの作成と削除を許可する

次の権限ポリシーは、ホストゾーンの作成と削除、および変更の進行状況の追跡をユーザーに許可します。

Copy
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":["route53:CreateHostedZone"], "Resource":"*" }, { "Effect":"Allow", "Action":["route53:DeleteHostedZone"], "Resource":"*" }, { "Effect":"Allow", "Action":["route53:GetChange"], "Resource":"*" } ] }

例 3: すべてのドメインに対するフルアクセスを許可する (パブリックホストゾーンのみ)

次の権限ポリシーは、ドメインの登録権限やホストゾーンの作成権限など、ドメイン登録に関するすべてのアクションの実行をユーザーに許可します。

Copy
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "route53domains:*", "route53:CreateHostedZone" ], "Resource":"*" } ] }

ドメインを登録すると同時にホストゾーンも作成されるため、ドメインを登録する権限を含むポリシーにはホストゾーンを作成する権限も必要です (ドメイン登録について、Amazon Route 53 は個別のリソースへのアクセス権限の付与をサポートしていません)。

プライベートホストゾーンを操作するために必要なアクセス権限については、「Amazon Route 53 コンソールを使用するために必要なアクセス権限」を参照してください。