メニュー
Amazon Route 53
開発者ガイド (API Version 2013-04-01)

Amazon Route 53 に対する認証とアクセスコントロール

Amazon Route 53 リソースでオペレーション (ドメインの登録やリソースレコードセットの更新など) を実行するには、承認された AWS ユーザーであることの認証が AWS Identity and Access Management (IAM) により求められます。Amazon Route 53 コンソールを使用している場合は、AWS ユーザー名およびパスワードを指定して、自分の ID を認証します。プログラムで Amazon Route 53 にアクセスする場合、アプリケーションはアクセスキーを使用するかリクエストに署名して ID を認証します。

ID が認証されると、オペレーションを実行し、リソースにアクセスする権限がユーザーにあることが IAM によって確認され、AWS へのアクセスが制御されます。アカウント管理者である場合、IAM を使用して、アカウントに関連付けられたリソースへの他のユーザーのアクセスを制御できます。

この章では、IAM および Amazon Route 53 を使ってリソースを保護する方法について説明します。

トピック

認証

AWS には、次のタイプのアイデンティティでアクセスできます。

  • AWS アカウントのルートユーザー – AWS にサインアップするときは、AWS アカウントに関連付けられた E メールアドレスとパスワードを指定します。これは AWS アカウントのルートユーザーです。この認証情報はすべての AWS リソースに対する完全なアクセスを提供します。

    重要

    セキュリティ上の理由から、AWS アカウントへの完全なアクセス権限を持つ管理者 (IAM ユーザー) を作成するためにのみ、ルートユーザーを使用することをお勧めします。その後、この管理者ユーザーを使用して、制限されたアクセス権限を持つ他の IAM ユーザーとロールを作成できます。詳細については、『IAM ユーザーガイド』の「IAM のベストプラクティス」および「管理者のユーザーおよびグループの作成」を参照してください。

  • IAM ユーザーIAM ユーザーは、特定のカスタム権限 (たとえば、Amazon Route 53 で ホストゾーン を作成するアクセス権限) を持つ AWS アカウント内のアイデンティティです。IAM のユーザー名とパスワードを使用して、AWS マネジメントコンソールAWS ディスカッションフォーラムAWS Support Center などのセキュリティ保護された AWS ウェブページにサインインできます。

     

    ユーザー名とパスワードに加えて、各ユーザーのアクセスキーを生成することもできます。いくつかの SDK の 1 つまたは AWS Command Line Interface (CLI) を使ってプログラムで AWS サービスにアクセスするときに、これらのキーを使用します。SDK と CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。Amazon Route 53 サポート対象 では、署名バージョン 4 がサポートされています。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、『AWS General Reference』の「署名バージョン 4 の署名プロセス」を参照してください。

     

  • IAM ロールIAM ロールは、特定のアクセス権限を持ち、アカウントで作成できるもう 1 つの IAM アイデンティティです。これは IAM ユーザーに似ていますが、特定のユーザーに関連付けられていません。IAM ロールでは、AWS サービスおよびリソースにアクセスするために使用できる一時的なアクセスキーを取得することができます。IAM ロールと一時的な認証情報は、次の状況で役立ちます。

     

    • フェデレーティッドユーザーアクセス – IAM ユーザーを作成するのではなく、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブアイデンティティプロバイダーの既存のユーザーアイデンティティを使用することもできます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、ID プロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、『IAM ユーザーガイド』の「フェデレーティッドユーザーとロール」を参照してください。

       

    • クロスアカウントアクセス – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするための権限を別の AWS アカウントに付与することができます。この例については、『IAM ユーザーガイド』の「チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任」を参照してください。

       

    • AWS サービスのアクセス – アカウントで IAM ロールを使用して、アカウントのリソースにアクセスするための AWS サービスのアクセス権限を付与できます。たとえば、Amazon Redshift がお客様に代わって Amazon S3 バケットにアクセスし、バケットからデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。 詳細については、『IAM ユーザーガイド』の「AWS ユーザーにアクセス権限を委任するロールの作成」を参照してください。

       

    • Amazon EC2 で実行されているアプリケーション – IAM ロールを使用して、EC2 インスタンスで実行され、AWS API リクエストを作成しているアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、『IAM ユーザーガイド』の「Amazon EC2 上のアプリケーションに対するロールの使用」を参照してください。

アクセスコントロール

Amazon Route 53 リソースを作成、更新、削除、またはリストするには、オペレーションを実行する権限と、対応するリソースにアクセスする権限が必要です。また、プログラムでオペレーションを実行するには、有効なアクセスキーが必要です。

以下のセクションでは、Amazon Route 53 のアクセス権限を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。

このページの内容: