Amazon Route 53 リゾルバーのアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon Route 53 リゾルバーのアクション、リソース、および条件キー

Amazon Route 53 リゾルバー (サービスプレフィックス: route53resolver) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Route 53 リゾルバーで定義されるリソース

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateFirewallRuleGroup Amazon VPC を指定されたファイアウォールのルールグループに関連付けるアクセス許可を付与します。 書き込み

firewall-rule-group-association*

ec2:DescribeVpcs

AssociateResolverEndpointIpAddress 指定した IP アドレスを Resolver エンドポイントに関連付けるアクセス許可を付与します。これは、DNS クエリがネットワーク (アウトバウンド) または VPC (インバウンド) に到達するまでに経由する IP アドレスです。 書き込み

resolver-endpoint*

AssociateResolverQueryLogConfig 指定されたクエリログ設定に Amazon VPC を関連付けるアクセス許可を付与します 書き込み

resolver-query-log-config*

AssociateResolverRule 指定した Resolver ルールを、指定した VPC に関連付けるアクセス許可を付与します 書き込み

resolver-rule*

CreateFirewallDomainList ファイアウォールドメイン一覧を作成するアクセス許可を付与します。 書き込み

firewall-domain-list*

CreateFirewallRule ファイアウォールのルールグループ内にファイアウォールルールを作成するアクセス許可を付与します。 書き込み

firewall-rule-group*

CreateFirewallRuleGroup ファイアウォールのルールグループを作成するアクセス許可を付与します。 書き込み

firewall-rule-group*

CreateResolverEndpoint Resolver エンドポイントを作成するアクセス許可を付与します。Resolver エンドポイントには、インバウンドとアウトバウンドの 2 つのタイプがあります 書き込み

resolver-endpoint*

CreateResolverQueryLogConfig Resolver クエリログ設定を作成するアクセス許可を付与します。これは、Resolver が VPC から生成される DNS クエリログを保存する場所を定義します 書き込み

resolver-query-log-config*

CreateResolverRule VPC で作成された DNS クエリについて、VPC からクエリをルーティングする方法を定義するアクセス許可を付与します 書き込み

resolver-rule*

DeleteFirewallDomainList ファイアウォールドメイン一覧を削除するアクセス許可を付与します。 書き込み

firewall-domain-list*

DeleteFirewallRule ファイアウォールのルールグループ内のファイアウォールルールを削除するアクセス許可を付与します。 書き込み

firewall-rule-group*

DeleteFirewallRuleGroup ファイアウォールのルールグループを削除するアクセス許可を付与します。 書き込み

firewall-rule-group*

DeleteResolverEndpoint Resolver エンドポイントを削除するアクセス許可を付与します。Resolver エンドポイントを削除する効果は、エンドポイントがインバウンドであるかアウトバウンドであるかによって異なります 書き込み

resolver-endpoint*

DeleteResolverQueryLogConfig Resolver クエリログ設定を削除するアクセス許可を付与します 書き込み

resolver-query-log-config*

DeleteResolverRule Resolver ルールを削除するアクセス許可を付与します 書き込み

resolver-rule*

DisassociateFirewallRuleGroup 指定したファイアウォールのルールグループと指定した VPC の関連付けを削除するアクセス許可を付与します。 書き込み

firewall-rule-group-association*

DisassociateResolverEndpointIpAddress 指定した IP アドレスを Resolver エンドポイントから削除するアクセス許可を付与します。これは、DNS クエリがネットワーク (アウトバウンド) または VPC (インバウンド) に到達するまでに経由する IP アドレスです。 書き込み

resolver-endpoint*

DisassociateResolverQueryLogConfig 指定した Resolver クエリログ設定と指定した VPC との関連付けを削除するアクセス許可を付与します 書き込み

resolver-query-log-config*

DisassociateResolverRule 指定した Resolver ルールと指定した VPC の関連付けを削除するアクセス許可を付与します 書き込み

resolver-rule*

GetFirewallConfig 指定されたファイアウォール設定に関する情報を取得するアクセス許可を付与します。 Read

firewall-config*

ec2:DescribeVpcs

GetFirewallDomainList 指定されたファイアウォールドメイン一覧に関する情報を取得するアクセス許可を付与します。 Read

firewall-domain-list*

GetFirewallRuleGroup 指定されたファイアウォールのルールグループに関する情報を取得するアクセス許可を付与します。 Read

firewall-rule-group*

GetFirewallRuleGroupAssociation 指定したファイアウォールのルールグループと VPC の間の関連付けに関する情報を取得するアクセス許可を付与します。 Read

firewall-rule-group-association*

GetFirewallRuleGroupPolicy 指定したファイアウォールのルールグループポリシーに関する情報を取得するアクセスアクセス許可を付与します。これにより、別の AWS アカウントの使用を許可するファイアウォールのルールグループの操作とリソースを指定します。 Read

firewall-rule-group*

GetResolverDnssecConfig 指定されたリソース内の DNS クエリの DNSSEC 検証サポートステータスを取得する権利を付与します。 Read

resolver-dnssec-config*

GetResolverEndpoint 指定した Resolver エンドポイントに関する情報 (エンドポイントがインバウンドであるかアウトバウンドであるか、および DNS クエリが VPC への送受信の過程で転送される VPC 内の IP アドレスなど) を取得するためのアクセス許可を付与します Read

resolver-endpoint*

GetResolverQueryLogConfig 指定した Resolver クエリのログ設定に関する情報を取得するためのアクセス許可を付与します (設定がクエリをログに記録している VPC の数や、ログの送信先など) Read

resolver-query-log-config*

GetResolverQueryLogConfigAssociation Resolver クエリのログ設定と Amazon VPC の間の、指定された関連付けに関する情報を取得するアクセス許可を付与します。VPC をクエリのログ設定に関連付けると、Resolver はその VPC で生成された DNS クエリをログに記録します Read

resolver-query-log-config*

GetResolverQueryLogConfigPolicy 指定した Resolver クエリのログポリシーに関する情報を取得するアクセス許可を付与します。このポリシーでは、別の AWS アカウントの使用を許可する Resolver クエリのログオペレーションとリソースを指定します Read

resolver-query-log-config*

GetResolverRule 指定した Resolver ルールに関する情報 (ルールによって DNS クエリが転送されるドメイン名、クエリが転送される先の IP アドレスなど) を取得するアクセス許可を付与します。 Read

resolver-rule*

GetResolverRuleAssociation 指定した Resolver ルールと VPC の間の関連付けに関する情報を取得するアクセス許可を付与します Read

resolver-rule*

GetResolverRulePolicy Resolver ルールポリシーに関する情報を取得するアクセス許可を付与します。このポリシーでは、別の AWS アカウントの使用を許可する Resolver オペレーションとリソースを指定します Read

resolver-rule*

ImportFirewallDomains ファイアウォールドメイン一覧内のファイアウォールドメインを追加、削除、または置換するアクセス許可を付与します。 書き込み

firewall-domain-list*

ListFirewallConfigs 現在の AWS アカウントで確認できるすべてのファイアウォール設定を一覧表示するアクセス許可を付与します。 リスト

firewall-config*

ec2:DescribeVpcs

ListFirewallDomainLists 現在の AWS アカウントで使用できるすべてのファイアウォールドメインリストを一覧表示するアクセス許可を付与します。 リスト
ListFirewallDomains ファイアウォールドメイン一覧に、すべてのファイアウォールドメインの一覧を表示するアクセス許可を付与します。 リスト

firewall-domain-list*

ListFirewallRuleGroupAssociations Amazon VPC とファイアウォールのルールグループ間の関連付けに関する情報を一覧表示するアクセス許可を付与します。 リスト
ListFirewallRuleGroups 現在の AWS アカウントが使用できるすべてのファイアウォールのルールグループを一覧表示するアクセス許可を付与します。 リスト
ListFirewallRules 指定されたファイアウォールのルールグループの下にすべてのファイアウォール規則を一覧表示するアクセス許可を付与します。 リスト

firewall-rule-group*

ListResolverDnssecConfigs DNS クエリの DNSSEC 検証サポートステータスを一覧表示するアクセス許可を付与します。 リスト

resolver-dnssec-config*

ListResolverEndpointIpAddresses 指定した Resolver エンドポイントについて、DNS クエリがネットワーク (アウトバウンド) または VPC (インバウンド) に到達するまでに経由する IP アドレスを一覧表示するアクセス許可を付与します リスト

resolver-endpoint*

ListResolverEndpoints 現在の AWS アカウントを使用して作成されたすべての Resolver エンドポイントを一覧表示するアクセス許可を付与します リスト
ListResolverQueryLogConfigAssociations Amazon VPC とクエリログ設定の間の関連付けに関する情報を一覧表示するアクセス許可を付与します リスト

resolver-query-log-config*

ListResolverQueryLogConfigs 指定したクエリログ設定に関する情報を一覧表示するアクセス許可を付与します。この設定は、Resolver が DNS クエリログを保存する場所を定義し、クエリをログに記録する VPC を指定します リスト

resolver-query-log-config*

ListResolverRuleAssociations 現在の AWS アカウントを使用して Resolver ルールと VPC の間に作成された関連付けを一覧表示するアクセス許可を付与します リスト
ListResolverRules 現在の AWS アカウントを使用して作成された Resolver ルールを一覧表示するアクセス許可を付与します リスト
ListTagsForResource 指定したリソースに関連付けたタグを一覧表示するアクセス許可を付与します Read

resolver-endpoint

resolver-rule

PutFirewallRuleGroupPolicy ファイアウォールのルールグループを共有する AWS アカウント、共有するファイアウォールのルールグループ、および設定に対してアカウントが実行できるようにする操作を指定するアクセス許可を付与します。 書き込み

firewall-rule-group*

PutResolverQueryLogConfigPolicy クエリログ設定を共有する AWS アカウント、共有するクエリログ設定、およびアカウントがその設定に対して実行できるようにする操作を指定するためのアクセス許可を付与します 書き込み

resolver-query-log-config*

PutResolverRulePolicy ルールを共有する AWS アカウント、共有する Resolver ルール、およびそれらのルールに対してアカウントが実行できるようにする操作を指定するためのアクセス許可を付与します 書き込み

resolver-rule*

TagResource 指定したリソースに 1 つ以上のタグを追加するアクセス許可を付与します。 タグ付け

resolver-endpoint

resolver-rule

UntagResource 指定したリソースから 1 つ以上のタグを削除するアクセス許可を付与します タグ付け

resolver-endpoint

resolver-rule

UpdateFirewallConfig ファイアウォール設定において選択した設定を更新するアクセス許可を付与します。 書き込み

firewall-config*

ec2:DescribeVpcs

UpdateFirewallDomains ファイアウォールドメイン一覧内のファイアウォールドメインを追加、削除、または置換するアクセス許可を付与します。 書き込み

firewall-domain-list*

UpdateFirewallRule ファイアウォールのルールグループのファイアウォールルールについて、選択した設定を更新するアクセス許可を付与します。 書き込み

firewall-rule-group*

UpdateFirewallRuleGroupAssociation ファイアウォールのルールグループの関連付けについて、選択した設定を更新するアクセス許可を付与します。 書き込み

firewall-rule-group-association*

UpdateResolverDnssecConfig 指定されたリソース内の DNS クエリの DNSSEC 検証サポートステータスを更新する権利を付与します。 書き込み

resolver-dnssec-config*

UpdateResolverEndpoint インバウンドまたはアウトバウンドの Resolver エンドポイントの選択した設定を更新するアクセス許可を付与します 書き込み

resolver-endpoint*

UpdateResolverRule 指定した Resolver ルールの設定を更新するアクセス許可を付与します 書き込み

resolver-rule*

Amazon Route 53 リゾルバーで定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
resolver-dnssec-config arn:${Partition}:route53resolver:${Region}:${Account}:resolver-dnssec-config/${ResourceId}

aws:ResourceTag/${TagKey}

resolver-query-log-config arn:${Partition}:route53resolver:${Region}:${Account}:resolver-query-log-config/${ResourceId}

aws:ResourceTag/${TagKey}

resolver-rule arn:${Partition}:route53resolver:${Region}:${Account}:resolver-rule/${ResourceId}

aws:ResourceTag/${TagKey}

resolver-endpoint arn:${Partition}:route53resolver:${Region}:${Account}:resolver-endpoint/${ResourceId}

aws:ResourceTag/${TagKey}

firewall-rule-group arn:${Partition}:route53resolver:${Region}:${Account}:firewall-rule-group/${ResourceId}

aws:ResourceTag/${TagKey}

firewall-rule-group-association arn:${Partition}:route53resolver:${Region}:${Account}:firewall-rule-group-association/${ResourceId}

aws:ResourceTag/${TagKey}

firewall-domain-list arn:${Partition}:route53resolver:${Region}:${Account}:firewall-domain-list/${ResourceId}

aws:ResourceTag/${TagKey}

firewall-config arn:${Partition}:route53resolver:${Region}:${Account}:firewall-config/${ResourceId}

aws:ResourceTag/${TagKey}

Amazon Route 53 リゾルバーの条件キー

Amazon Route 53 リゾルバーでは、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします 文字列