Amazon Route 53 での Identity and Access Management

( AWS Identity and Access Management IAM) では、ドメインの登録やレコードの更新など、Amazon Route 53 リソースに対してオペレーションを実行するには、承認された AWS ユーザーであることを認証する必要があります。Route 53 コンソールを使用している場合は、 AWS ユーザー名およびパスワードを指定して、自分の ID を認証します。

ID を認証すると、IAM は、オペレーションを実行し、リソースにアクセスするためのアクセス許可があること AWS を確認して、 へのアクセスを制御します。アカウント管理者である場合、IAM を使用して、アカウントに関連付けられたリソースへの他のユーザーのアクセスをコントロールできます。

この章では、IAM および Route 53 を使ってリソースを保護する方法について説明します。

トピック

• アイデンティティを使用した認証

• アクセスコントロール

• Amazon Route 53 リソースに対するアクセス許可の管理の概要

• Amazon Route 53 での ID ベースのポリシー (IAM ポリシー) の使用

• Amazon Route 53 Resolverのサービスにリンクされたロールの使用

• AWS Amazon Route 53 の マネージドポリシー

• 詳細に設定されたアクセスコントロールのための IAM ポリシー条件の使用

• Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス

アイデンティティを使用した認証

認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。

AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「AWS サインイン ユーザーガイド」の「AWS アカウントにサインインする方法」を参照してください。

プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「IAM ユーザーガイド」の「API リクエストに対するAWS 署名バージョン 4」を参照してください。

AWS アカウント ルートユーザー

を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント ルートユーザーと呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。

フェデレーテッドアイデンティティ

ベストプラクティスとして、人間のユーザーは ID プロバイダーとのフェデレーションを使用して、一時的な認証情報 AWS のサービス を使用して にアクセスする必要があります。

フェデレーティッド ID は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。

アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「AWS IAM アイデンティティセンター ユーザーガイド」の「IAM アイデンティティセンターとは」を参照してください。

IAM ユーザーとグループ

IAM ユーザーは、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、IAM ユーザーガイドの「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS」を参照してください。

IAM グループは、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「IAM ユーザーガイド」の「IAM ユーザーに関するユースケース」を参照してください。

IAM ロール

IAM ロールは、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロールを引き受けることができます。 AWS CLI AWS 詳細については、「IAM ユーザーガイド」の「ロールを引き受けるための各種方法」を参照してください。

IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、IAM ユーザーガイド の IAM でのクロスアカウントリソースアクセス を参照してください。

アクセスコントロール

Amazon Route 53 リソースを作成、更新、削除、またはリストするには、オペレーションを実行するアクセス許可と、対応するリソースにアクセスするアクセス許可が必要です。

以下のセクションでは、Route 53 のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。