翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Route 53 リソースに対するアクセス許可の管理の概要
すべての AWS リソースは AWS アカウントによって所有され、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。
注記
アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。管理者の詳細については、「 ユーザーガイド」のIAM「ベストプラクティス」を参照してください。 IAM
アクセス許可を付与するときは、アクセス許可を取得するユーザー、アクセス許可を取得する対象のリソース、およびアクセス許可を取得して実行するアクションを決定します。
ユーザーが の AWS 外部とやり取りする場合は、プログラムによるアクセスが必要です AWS Management Console。プログラムによるアクセスを許可する方法は、 にアクセスするユーザーのタイプによって異なります AWS。
ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。
プログラマチックアクセス権を必要とするユーザー | 目的 | 方法 |
---|---|---|
ワークフォースアイデンティティ (IAMアイデンティティセンターで管理されるユーザー) |
一時的な認証情報を使用して AWS CLI、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。 |
使用するインターフェイス用の手引きに従ってください。
|
IAM | 一時的な認証情報を使用して AWS CLI、 AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。 | IAM 「 ユーザーガイド」のAWS 「リソースで一時的な認証情報を使用する」の手順に従います。 |
IAM | (非推奨) 長期認証情報を使用して、 AWS CLI AWS SDKs、または へのプログラムによるリクエストに署名します AWS APIs。 |
使用するインターフェイス用の手引きに従ってください。
|
ARNs Amazon Route 53 リソース用
Amazon Route 53 は、、ヘルスチェックDNS、ドメイン登録のさまざまなリソースタイプをサポートしています。ポリシーでは、 *
を に使用することで、次のリソースへのアクセスを許可または拒否できますARN。
-
ヘルスチェック
-
ホストゾーン
-
再利用可能な委託セット
-
リソースレコードセット変更バッチのステータス (API のみ)
-
トラフィックポリシー (トラフィックフロー)
-
トラフィックポリシーのインスタンス (トラフィックフロー)
すべての Route 53 リソースでアクセス許可がサポートされているわけではありません。次のリソースへのアクセスを許可したり拒否したりすることはできません。
-
ドメイン
-
個々のレコード
-
ドメインのタグ
-
ヘルスチェックのタグ
-
ホストゾーンのタグ
Route 53 は、これらのタイプのリソースそれぞれを操作するAPIアクションを提供します。詳細については、「Amazon Route 53 APIリファレンス」を参照してください。アクションのリストとARN、各アクションを使用する許可を付与または拒否するために指定する については、「」を参照してくださいAmazon Route 53 のAPIアクセス許可: アクション、リソース、および条件リファレンス。
リソース所有権について
AWS アカウントは、誰がリソースを作成したかに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエストを認証するプリンシパルエンティティ (つまり、ルートアカウント、またはIAMロール) の AWS アカウントです。
次の例は、この仕組みを示しています。
-
AWS アカウントのルートアカウント認証情報を使用してホストゾーンを作成する場合、 AWS アカウントはリソースの所有者です。
-
AWS アカウントにユーザーを作成し、そのユーザーにホストゾーンを作成するアクセス許可を付与すると、ユーザーはホストゾーンを作成できます。ただし、ユーザーが属する AWS アカウントはホストゾーンリソースを所有しています。
-
ホストゾーンを作成するアクセス許可を持つIAMロールを AWS アカウントに作成する場合、そのロールを引き受けることができるすべてのユーザーがホストゾーンを作成できます。ロールが属する AWS アカウントは、ホストゾーンリソースを所有します。
リソースへのアクセスの管理
アクセス許可のポリシーでは、誰が何にアクセスできるかを指定します。このセクションでは、Amazon Route 53 のアクセス許可ポリシーを作成するために使用可能なオプションについて説明します。IAM ポリシーの構文と説明に関する一般的な情報については、IAM「 ユーザーガイド」のAWS IAM「ポリシーリファレンス」を参照してください。
IAM ID にアタッチされたポリシーは ID ベースのポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーはリソースベースのポリシーと呼ばれます。Route 53 は、アイデンティティベースのポリシー (IAM ポリシー) のみをサポートします。
ID ベースのポリシー (IAM ポリシー)
IAM ID にポリシーをアタッチできます。例えば、次のオペレーションを実行できます。
-
アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする – アカウント管理者は、特定のユーザーに関連付けられるアクセス許可ポリシーを使用して、そのユーザーに Amazon Route 53 リソースの作成を許可するアクセス許可を付与することができます。
-
アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する) – 別の AWS アカウントによって作成されたユーザーに Route 53 アクションを実行するアクセス許可を付与できます。これを行うには、アクセス許可ポリシーをIAMロールにアタッチし、他のアカウントのユーザーにロールの引き受けを許可します。次の例では、これがアカウント A とアカウント B の 2 つの AWS アカウントでどのように機能するかを説明します。
-
アカウント 管理者はIAMロールを作成し、アカウント A が所有するリソースを作成またはアクセスするためのアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。
-
アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。信頼ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。
-
次に、アカウント B の管理者は、ロールを引き受けるアクセス許可をアカウント B のユーザーまたはグループに委任できます。これにより、アカウント B のユーザーはアカウント A でリソースを作成したり、リソースにアクセスしたりできます。
別の AWS アカウントのユーザーにアクセス許可を委任する方法の詳細については、「 ユーザーガイド」の「アクセス管理」を参照してください。 IAM
-
次のポリシー例では、ユーザーが CreateHostedZone
アクションを実行し、 AWS アカウントのパブリックホストゾーンを作成できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone" ], "Resource":"*" } ] }
ポリシーをプライベートホストゾーンにも適用する場合は、次の例に示すようにDescribeRegion
、Route 53 AssociateVPCWithHostedZone
アクションと 2 つの Amazon EC2アクション、DescribeVpcs
および を使用するアクセス許可を付与する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53:AssociateVPCWithHostedZone" ], "Resource":"*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRegion" ], "Resource":"*" }, ] }
Route 53 の ID へのポリシーのアタッチの詳細については、「Amazon Route 53 のアイデンティティベースのポリシー (IAM ポリシー) の使用」を参照してください。ユーザー、グループ、ロール、アクセス許可の詳細については、 IAM ユーザーガイドの「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。
リソースベースのポリシー
Amazon S3 などの他のサービスでは、リソースへのアクセス許可ポリシーのアタッチもサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Amazon Route 53 では、リソースへのポリシーのアタッチはサポートされません。
ポリシー要素の指定: リソース、アクション、効果、プリンシパル
Amazon Route 53 には、各 Route 53 リソースで使用できるAPIアクション (「」を参照) が含まれています (「」を参照)ARNs Amazon Route 53 リソース用。 API これらのアクションの一部またはすべてを実行するアクセス許可を、ユーザーまたはフェデレーティッドユーザーに付与できます。ドメインの登録などの一部のAPIアクションでは、複数のアクションを実行するためのアクセス許可が必要です。
以下は、基本的なポリシーの要素です。
-
リソース – Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「ARNs Amazon Route 53 リソース用」を参照してください。
-
アクション - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。例えば、指定された
Effect
に応じて、route53:CreateHostedZone
アクセス許可によって Route 53CreateHostedZone
アクションの実行がユーザーに許可または拒否されます。 -
効果 - ユーザーが指定されたリソースでアクションの実行を試みた場合の、許可または拒否の効果を指定します。アクションへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
-
プリンシパル – ID ベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。Route 53 では、リソースベースのポリシー はサポートされていません。
IAM ポリシーの構文と説明の詳細については、IAM「 ユーザーガイド」のAWS IAM「ポリシーリファレンス」を参照してください。
すべての Route 53 APIオペレーションとそれらが適用されるリソースを示すテーブルについては、「」を参照してくださいAmazon Route 53 のAPIアクセス許可: アクション、リソース、および条件リファレンス。
ポリシーでの条件の指定
アクセス許可を付与するときは、IAMポリシー言語を使用して、ポリシーを有効にするタイミングを指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語で条件を指定する方法の詳細については、IAM「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。Route 53 に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 幅広い条件キーがあります。 AWS ワイドキーの完全なリストについては、IAM「 ユーザーガイド」の「条件に利用可能なキー」を参照してください。