Amazon Route 53 での Identity and Access Management - Amazon Route 53

Amazon Route 53 での Identity and Access Management

Amazon Route 53 リソースでオペレーション (ドメインの登録やレコードの更新など) を実行するには、承認された AWS ユーザーであることの認証が AWS Identity and Access Management (IAM) により求められます。Route 53 コンソールを使用している場合は、AWS ユーザー名およびパスワードを指定して、自分の ID を認証します。プログラムで Route 53 にアクセスする場合、アプリケーションはアクセスキーを使用するかリクエストに署名して ID を認証します。

アイデンティティが認証されると、AWS へのアクセスをコントロールするために、オペレーションを実行するアクセス許可、リソースを操作するアクセス許可があることが IAM によって確認されます。アカウント管理者である場合、IAM を使用して、アカウントに関連付けられたリソースへの他のユーザーのアクセスをコントロールできます。

この章では、IAM および Route 53 を使ってリソースを保護する方法について説明します。

トピック

認証

AWS には、次のいずれかのタイプのアイデンティティでアクセスできます。

  • AWS アカウント ルートユーザー-AWS アカウントを初めて作成するときは、このアカウント内のすべての AWS のサービスとリソースに対する完全なアクセス権を持つシングルサインインアイデンティティを使って作成を開始します。このアイデンティティは AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことを強くお勧めします。代わりに、初期の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。

  • IAM ユーザー - IAM ユーザーは、特定のカスタムのアクセス許可 (Route 53 でホストゾーンを作成するアクセス許可など) を持つ AWS アカウント 内の ID です。IAM のユーザー名とパスワードは、AWS Management ConsoleAWS ディスカッションフォーラム、または AWS Support センターなどのセキュアな AWS ウェブページへのサインインに使用できます。

    ユーザー名とパスワードに加えて、各ユーザーのアクセスキーを作成することもできます。これらのキーは、 SDK の 1 つ または AWS Command Line Interface (CLI)を使用してプログラム的に AWS のサービスにアクセスするときに使用できます。SDK と CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。AWS ツールを使用しない場合は、リクエストに自分で署名する必要があります。Route 53 では、署名バージョン 4 がサポートされています。これは、インバウンド API リクエストを認証するためのプロトコルです。リクエストの認証の詳細については、AWS 全般リファレンス署名バージョン 4 署名プロセスを参照してください。

  • IAM ロール - IAM ロールは、アカウントで作成して特定の許可を付与できる IAM アイデンティティです。IAM ロールは、アイデンティティが AWS で実行できることとできないことを決定する許可ポリシーを持つ AWS アイデンティティであるという点で IAM ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。IAM ロールと一時的な認証情報は、次の状況で役立ちます。

    • フェデレーティッドユーザーアクセス - IAM ユーザーを作成する代わりに、AWS Directory Service、エンタープライズユーザーディレクトリ、またはウェブアイデンティティプロバイダーからの既存のアイデンティティを使用できます。このようなユーザーはフェデレーティッドユーザーと呼ばれます。AWS では、アイデンティティプロバイダーを通じてアクセスがリクエストされたとき、フェデレーティッドユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、「IAM ユーザーガイド」の「フェデレーティッドユーザーとロール」を参照してください。

    • AWS のサービスアクセス - サービスロールは、サービスがユーザーに代わってアクションを実行するために引き受ける IAM ロールです。IAM管理者は、IAM内からサービスロールを作成、変更、削除できます。詳細については、「IAM ユーザーガイド」の「AWS のサービスにアクセス権限を委任するロールの作成」を参照してください。

    • Amazon EC2 で実行されているアプリケーション – EC2 インスタンスで実行され、AWS CLI または AWS API リクエストを行っているアプリケーションの一時的な認証情報を管理するには、IAM ロールを使用できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時的な認証情報を取得することができます。詳細については、「IAM ユーザーガイド」の「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して許可を付与する」を参照してください。

アクセスコントロール

Amazon Route 53 リソースを作成、更新、削除、またはリストするには、オペレーションを実行するアクセス許可と、対応するリソースにアクセスするアクセス許可が必要です。また、プログラムでオペレーションを実行するには、有効なアクセスキーが必要です。

以下のセクションでは、Route 53 のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。