Amazon Route 53 リソースに対するアクセス許可の管理の概要 - Amazon Route 53
ARNs Amazon Route 53 リソースのリソース所有権について リソースへのアクセスの管理ポリシー要素の指定: リソース、アクション、効果、プリンシパルポリシーでの条件の指定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Route 53 リソースに対するアクセス許可の管理の概要

すべての AWS リソースは AWS アカウントによって所有され、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。管理者の詳細については、「 ユーザーガイド」の「 のIAMベストプラクティスIAM」を参照してください。

アクセス許可を付与するときは、アクセス許可を取得するユーザー、アクセス許可を取得する対象のリソース、およびアクセス許可を取得して実行するアクションを決定します。

ユーザーが の AWS 外部とやり取りする場合は、プログラムによるアクセスが必要です AWS Management Console。プログラムによるアクセスを許可する方法は、 にアクセスするユーザーのタイプによって異なります AWS。

ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。

プログラマチックアクセス権を必要とするユーザー 目的 方法

ワークフォースアイデンティティ

(IAMIdentity Center で管理されるユーザー)

 一時的な認証情報を使用して、 AWS CLI、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。

使用するインターフェイス用の手引きに従ってください。
IAM 一時的な認証情報を使用して、 AWS CLI、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。 「 ユーザーガイド」の「 AWS リソースでの一時的な認証情報の使用IAM」の手順に従います。
IAM

(非推奨)

長期認証情報を使用して、 AWS CLI、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。

使用するインターフェイス用の手引きに従ってください。

ARNs Amazon Route 53 リソースの

Amazon Route 53 は、、ヘルスチェックDNS、ドメイン登録のさまざまなリソースタイプをサポートしています。ポリシーでは、 *に を使用することで、次のリソースへのアクセスを許可または拒否できますARN。

  • ヘルスチェック

  • ホストゾーン

  • 再利用可能な委託セット

  • リソースレコードセット変更バッチのステータス (API のみ)

  • トラフィックポリシー (トラフィックフロー)

  • トラフィックポリシーのインスタンス (トラフィックフロー)

すべての Route 53 リソースでアクセス許可がサポートされているわけではありません。次のリソースへのアクセスを許可したり拒否したりすることはできません。

  • ドメイン

  • 個々のレコード

  • ドメインのタグ

  • ヘルスチェックのタグ

  • ホストゾーンのタグ

Route 53 には、これらの各タイプのリソースを操作するAPIアクションが用意されています。詳細については、「Amazon Route 53 APIリファレンス」を参照してください。各アクションを使用するアクセス許可を付与または拒否するためにARN指定するアクションと のリストについては、「」を参照してくださいAmazon Route 53 のAPIアクセス許可: アクション、リソース、および条件リファレンス

リソース所有権について

AWS アカウントは、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエスト AWS を認証するプリンシパルエンティティ (ルートアカウントまたは IAM ロール) のアカウントです。

次の例は、この仕組みを示しています。

  • AWS アカウントのルートアカウントの認証情報を使用してホストゾーンを作成する場合、 AWS アカウントはリソースの所有者です。

  • AWS アカウントにユーザーを作成し、そのユーザーにホストゾーンを作成するアクセス許可を付与すると、そのユーザーはホストゾーンを作成できます。ただし、ユーザーが属する AWS アカウントはホストゾーンリソースを所有しています。

  • アカウントにホストゾーンを作成するアクセス許可 AWS を持つ IAMロールを作成すると、ロールを引き受けることのできるすべてのユーザーがホストゾーンを作成できます。ロールが属する AWS アカウントは、ホストゾーンリソースを所有します。

リソースへのアクセスの管理

アクセス許可のポリシーでは、誰が何にアクセスできるかを指定します。このセクションでは、Amazon Route 53 のアクセス許可ポリシーを作成するために使用可能なオプションについて説明します。IAM ポリシーの構文と説明に関する一般的な情報については、「 ユーザーガイド」の「 AWS IAMポリシーリファレンスIAM」を参照してください。

IAM ID にアタッチされたポリシーはアイデンティティベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。Route 53 は、アイデンティティベースのポリシー (IAM ポリシー) のみをサポートします。

ID ベースのポリシー (IAM ポリシー)

IAM ID にポリシーをアタッチできます。例えば、次のオペレーションを実行できます。

  • アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする – アカウント管理者は、特定のユーザーに関連付けられるアクセス許可ポリシーを使用して、そのユーザーに Amazon Route 53 リソースの作成を許可するアクセス許可を付与することができます。

  • アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する) – 別の AWS アカウントによって作成されたユーザーに Route 53 アクションを実行するアクセス許可を付与できます。これを行うには、アクセス許可ポリシーを IAMロールにアタッチし、他のアカウントのユーザーにロールの引き受けを許可します。次の例では、これがアカウント A とアカウント B の 2 つの AWS アカウントでどのように機能するかを説明します。

    1. アカウント A の管理者は、 IAMロールを作成し、アカウント A が所有するリソースを作成またはアクセスするためのアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。

    2. アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。信頼ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。

    3. 次に、アカウント B の管理者は、ロールを引き受けるアクセス許可をアカウント B のユーザーまたはグループに委任できます。これにより、アカウント B のユーザーはアカウント A でリソースを作成したり、リソースにアクセスしたりできます。

    別のアカウントのユーザーに許可を委任する方法の詳細については AWS 、 ユーザーガイドの「アクセス管理IAM」を参照してください。

次のポリシー例では、ユーザーが CreateHostedZone アクションを実行し、 AWS アカウントのパブリックホストゾーンを作成できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

ポリシーをプライベートホストゾーンにも適用するには、次の例に示すようにDescribeRegion、Route 53 AssociateVPCWithHostedZoneアクションと 2 つの Amazon EC2アクション、DescribeVpcsおよび を使用するアクセス許可を付与する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Route 53 の ID へのポリシーのアタッチの詳細については、「Amazon Route 53 でのアイデンティティベースのポリシー (IAM ポリシー) の使用」を参照してください。ユーザー、グループ、ロール、アクセス許可の詳細については、 IAM ユーザーガイド「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

リソースベースのポリシー

Amazon S3 などの他のサービスでは、リソースへのアクセス許可ポリシーのアタッチもサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Amazon Route 53 では、リソースへのポリシーのアタッチはサポートされません。 

ポリシー要素の指定: リソース、アクション、効果、プリンシパル

Amazon Route 53 には、各 Route 53 リソースで使用できるAPIアクション (「Amazon Route 53 リファレンス」を参照) が含まれています (「」を参照ARNs Amazon Route 53 リソースの)。 API これらのアクションの一部またはすべてを実行するアクセス許可を、ユーザーまたはフェデレーティッドユーザーに付与できます。ドメインの登録などの一部のAPIアクションでは、複数のアクションを実行するためのアクセス許可が必要であることに注意してください。

以下は、基本的なポリシーの要素です。

  • リソース – Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「ARNs Amazon Route 53 リソースの」を参照してください。

  • アクション - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。例えば、指定された Effect に応じて、route53:CreateHostedZone アクセス許可によって Route 53 CreateHostedZone アクションの実行がユーザーに許可または拒否されます。

  • 効果 - ユーザーが指定されたリソースでアクションの実行を試みた場合の、許可または拒否の効果を指定します。アクションへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。Route 53 では、リソースベースのポリシー はサポートされていません。

IAM ポリシーの構文と説明の詳細については、「 ユーザーガイド」のAWS IAM「 ポリシーリファレンスIAM」を参照してください。

Route 53 のすべてのAPIオペレーションとそれらが適用されるリソースを示すについては、「」を参照してくださいAmazon Route 53 のAPIアクセス許可: アクション、リソース、および条件リファレンス

ポリシーでの条件の指定

アクセス許可を付与するときは、IAMポリシー言語を使用して、ポリシーを有効にするタイミングを指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。Route 53 に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 幅広い条件キーがあります。 AWS ワイドキーの完全なリストについては、「 ユーザーガイド」の「条件で使用できるキーIAM」を参照してください。