翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Route 53 リソースに対するアクセス許可の管理の概要
すべての AWS リソースは AWS アカウントによって所有され、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。
**注記**
*アカウント管理者* (または管理者ユーザー) は、管理者権限を持つユーザーです。管理者の詳細については、*IAM ユーザーガイド*の「[IAM ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
アクセス許可を付与するときは、アクセス許可を取得するユーザー、アクセス許可を取得する対象のリソース、およびアクセス許可を取得して実行するアクションを決定します。
ユーザーが の AWS 外部で を操作する場合は、プログラムによるアクセスが必要です AWS マネジメントコンソール。プログラムによるアクセスを許可する方法は、 がアクセスするユーザーのタイプによって異なります AWS。
ユーザーにプログラムによるアクセス権を付与するには、以下のいずれかのオプションを選択します。
****
| プログラムによるアクセス権を必要とするユーザー | 目的 | 方法 |
| --- | --- | --- |
| IAM | (推奨) コンソール認証情報を一時的な認証情報として使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/access-control-overview.html) |
| ワークフォースアイデンティティ (IAM アイデンティティセンターで管理されているユーザー) | 一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | 一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 「IAM [ユーザーガイド」の「 AWS リソースでの一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)の使用」の手順に従います。 |
| IAM | (非推奨)長期認証情報を使用して、 AWS CLI、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [Amazon Route 53 リソースの ARN](#access-control-resources)
+ [リソース所有権についての理解](#access-control-owner)
+ [リソースへのアクセスの管理](#access-control-manage-access-intro)
+ [ポリシー要素の指定: リソース、アクション、効果、プリンシパル](#access-control-specify-r53-actions)
+ [ポリシーでの条件を指定する](#specifying-conditions)
## Amazon Route 53 リソースの ARN
Amazon Route 53 は、DNS、ヘルスチェック、ドメイン登録用にさまざまなリソースタイプをサポートしています。ポリシーでは、ARN の `*` を使用して、以下のリソースへのアクセスを許可したり、拒否することができます。
+ ヘルスチェック
+ ホストゾーン
+ 再利用可能な委託セット
+ リソースレコードセット変更バッチのステータス (API のみ)
+ トラフィックポリシー (トラフィックフロー)
+ トラフィックポリシーのインスタンス (トラフィックフロー)
すべての Route 53 リソースでアクセス許可がサポートされているわけではありません。次のリソースへのアクセスを許可したり拒否したりすることはできません。
+ ドメイン
+ 個々のレコード
+ ドメインのタグ
+ ヘルスチェックのタグ
+ ホストゾーンのタグ
Route 53 には、これらの各タイプのリソースで使用できる API アクションが用意されています。詳細については、「[Amazon Route 53 API リファレンス](https://docs.aws.amazon.com/Route53/latest/APIReference/)」を参照してください。各アクションを使用するアクセス許可を付与または拒否するために指定するアクションおよび ARN のリストについては、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
## リソース所有権についての理解
AWS アカウントは、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエストを認証するプリンシパルエンティティ (ルートアカウント、または IAM ロール) AWS のアカウントです。
次の例は、この仕組みを示しています。
+ AWS アカウントのルートアカウントの認証情報を使用してホストゾーンを作成する場合、 AWS アカウントはリソースの所有者です。
+ AWS アカウントにユーザーを作成し、そのユーザーにホストゾーンを作成するアクセス許可を付与すると、そのユーザーはホストゾーンを作成できます。ただし、ユーザーが属する AWS アカウントはホストゾーンリソースを所有しています。
+ AWS アカウントにホストゾーンを作成するアクセス許可を持つ IAM ロールを作成すると、ロールを引き受けることのできるすべてのユーザーがホストゾーンを作成できます。ロールが属する AWS アカウントは、ホストゾーンリソースを所有します。
## リソースへのアクセスの管理
*アクセス許可のポリシー*では、誰が何にアクセスできるかを指定します。このセクションでは、Amazon Route 53 のアクセス許可ポリシーを作成するために使用可能なオプションについて説明します。IAM ポリシー構文の概説については、*IAM ユーザーガイド*の [AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)を参照してください。
IAM ID にアタッチされたポリシーは *ID ベース*のポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーは*リソースベース*のポリシーと呼ばれます。Route 53 では、ID ベースのポリシー (IAM ポリシー) のみサポートされます。
**Topics**
+ [アイデンティティベースのポリシー (IAM ポリシー)](#access-control-manage-access-intro-iam-policies)
+ [リソースベースのポリシー](#access-control-manage-access-intro-resource-policies)
### アイデンティティベースのポリシー (IAM ポリシー)
ポリシーを IAM アイデンティティにアタッチできます。例えば、次の操作を実行できます。
+ **アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする** – アカウント管理者は、特定のユーザーに関連付けられるアクセス許可ポリシーを使用して、そのユーザーに Amazon Route 53 リソースの作成を許可するアクセス許可を付与することができます。
+ **アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する)** – 別の AWS アカウントによって作成されたユーザーに Route 53 アクションを実行するアクセス許可を付与できます。そのためには、IAM ロールにアクセス許可ポリシーをアタッチし、他のアカウントのユーザーがそのロールを引き受けられるようにします。次の例では、これがアカウント A とアカウント B の 2 つの AWS アカウントでどのように機能するかを説明します。
1. アカウント A の管理者は、IAM ロールを作成して、アカウント A が所有するリソースの作成や操作をするアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。
1. アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。信頼ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。
1. 次に、アカウント B の管理者は、ロールを引き受けるアクセス許可をアカウント B のユーザーまたはグループに委任できます。これにより、アカウント B のユーザーはアカウント A でリソースを作成したり、リソースにアクセスしたりできます。
別の AWS アカウントのユーザーに権限を委任する方法の詳細については、*IAM ユーザーガイド*の[「アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。
次のポリシー例では、ユーザーが `CreateHostedZone` アクションを実行し、 AWS アカウントのパブリックホストゾーンを作成できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
プライベートホストゾーンにもポリシーを適用する場合、次の例に示すように、Route 53 `AssociateVPCWithHostedZone` アクションと 2 つの Amazon EC2 アクション (`DescribeVpcs` と `DescribeRegion`) を使用するためのアクセス許可を付与する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
Route 53 の ID へのポリシーのアタッチの詳細については、「[Amazon Route 53 での ID ベースのポリシー (IAM ポリシー) の使用](access-control-managing-permissions.md)」を参照してください。ユーザー、グループ、ロール、アクセス権限の詳細については、「*IAM ユーザーガイド*」の「[ID (ユーザー、グループ、ロール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。
### リソースベースのポリシー
Amazon S3 などの他のサービスでは、リソースへのアクセス許可ポリシーのアタッチもサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Amazon Route 53 では、リソースへのポリシーのアタッチはサポートされません。
## ポリシー要素の指定: リソース、アクション、効果、プリンシパル
Amazon Route 53 には、各 Route 53 リソース ([Amazon Route 53 リソースの ARN](#access-control-resources) 参照) で使用できる API アクション (「[Amazon Route 53 API リファレンス](https://docs.aws.amazon.com/Route53/latest/APIReference/)」参照) が含まれています。これらのアクションの一部またはすべてを実行するアクセス許可を、ユーザーまたはフェデレーティッドユーザーに付与できます。ドメインの登録など、一部の API アクションでは複数のアクションを実行する権限が必要な点に注意してください。
以下は、基本的なポリシーの要素です。
+ **リソース** - Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「[Amazon Route 53 リソースの ARN](#access-control-resources)」を参照してください。
+ **アクション** - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。例えば、指定された `Effect` に応じて、`route53:CreateHostedZone` アクセス許可によって Route 53 `CreateHostedZone` アクションの実行がユーザーに許可または拒否されます。
+ **効果** - ユーザーが指定されたリソースでアクションの実行を試みた場合の、許可または拒否の効果を指定します。アクションへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
+ **プリンシパル** - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。Route 53 では、リソースベースのポリシー はサポートされていません。
IAM ポリシー構文の詳細と説明については、*IAM ユーザーガイド*の[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)を参照してください。
適用する Route 53 API オペレーションやリソースがすべて表示されているテーブルのについては、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
## ポリシーでの条件を指定する
アクセス許可を付与するとき、IAM ポリシー言語を使用して、いつポリシーが有効になるかを指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。Route 53 に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 幅広い条件キーがあります。 AWS ワイドキーの完全なリストについては、*「IAM ユーザーガイド*」の[「条件に使用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。