リソースレコードセットのアクセス許可

リソースレコードセットのアクセス許可では、 Identity and Access Management (IAM) ポリシー条件を使用して、Route 53 コンソールのアクションまたは ChangeResourceRecordSets API を使用するための詳細なアクセス許可を設定できます。

リソースレコードセットは、複数のリソースレコードとして定義されます。これらの名前とタイプは同じです (クラスも同じですが、ほとんどの場合、クラスは常に IN またはインターネットです) が、含まれているデータは異なります。例えば、位置情報ルーティングを選択した場合、同じドメインの異なるエンドポイントを指す複数の A レコードまたは AAAA レコードを設定できます。これらの A レコードまたは AAAA レコードはすべて組み合わされて 1 つのリソースレコードセットを形成します。DNS 用語の詳細については、「RFC 7719」を参照してください。

route53:ChangeResourceRecordSetsNormalizedRecordNames、route53:ChangeResourceRecordSetsRecordTypes、および route53:ChangeResourceRecordSetsActions の IAM ポリシー条件では、他の任意の AWS アカウントの他の AWS ユーザーにきめ細かな管理権限を付与できます。これにより、あるユーザーに、次のアクセス許可を付与できます。

• 単一リソースレコードセット。

• 特定の DNS レコードタイプのすべてのリソースレコードセット。

• 名前に特定の文字列が含まれるリソースレコードセット。

• ChangeResourceRecordSets API または Route 53 コンソールを使用して、いずれかの、またはすべてのCREATE | UPSERT | DELETE アクションを実行します。

Route 53 のポリシー条件のいずれかを組み合わせたアクセス許可を作成することもできます。例えば、あるユーザーに marketing-example.com の A レコードデータを変更するアクセス許可を付与するが、そのユーザーにはレコードの削除を許可しないことができます。

リソースレコードセットのアクセス許可の詳細については、「きめ細かなアクセスコントロールのための IAM ポリシー条件を使用してリソースレコードセットを管理する」を参照してください。

AWS ユーザーを認証する方法については、「アイデンティティによる認証」を参照してください。また、Route 53 リソースへのアクセスを制御する方法については、「アクセスコントロール」を参照してください。