翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Route 53 Global Resolver のアカウントアクセスの設定
<a name="gr-setting-up"></a>

Route 53 Global Resolver の使用を開始する前に、Route 53 Global Resolver リソースにアクセスするための AWS アカウントと適切なアクセス許可が必要です。これには、必要なアクセス許可を持つ IAM ユーザーとロールの作成が含まれます。

このセクションでは、Route 53 Global Resolver にアクセスするようにユーザーとロールを設定するために必要な手順について説明します。

**Topics**
+ [にサインアップする AWS アカウント](#sign-up-for-aws)
+ [管理アクセスを持つユーザーを作成する](#create-an-admin)
+ [ポリシーとロールの作成](#gr-setting-up-permissions)
+ [ネットワークに関する考慮事項](#gr-setting-up-network)

## にサインアップする AWS アカウント
<a name="sign-up-for-aws"></a>

がない場合は AWS アカウント、次の手順を実行して作成します。

**にサインアップするには AWS アカウント**

1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。

1. オンラインの手順に従います。

   サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。

   にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

## 管理アクセスを持つユーザーを作成する
<a name="create-an-admin"></a>

にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。

**を保護する AWS アカウントのルートユーザー**

1.  **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。

   ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。

1. ルートユーザーの多要素認証 (MFA) を有効にします。

   手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。

**管理アクセスを持つユーザーを作成する**

1. IAM アイデンティティセンターを有効にします。

   手順については、「AWS IAM アイデンティティセンター ユーザーガイド」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。

1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

   を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。

**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

  IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。

**追加のユーザーにアクセス権を割り当てる**

1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

   手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。

1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

   手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループの追加](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。

## ポリシーとロールの作成
<a name="gr-setting-up-permissions"></a>

 AWS Identity and Access Management (IAM) アクセス許可を設定して、チームが Route 53 Global Resolver リソースをデプロイおよび管理できるようにします。フルアクセスには管理アクセス許可を使用し、設定のモニタリングと表示には読み取り専用アクセス許可を使用できます。

すべての Route 53 Global Resolver API オペレーションには、適切な IAM アクセス許可が必要です。必要なアクセス許可がない場合、API コールは `AccessDeniedException` (401) または `UnauthorizedException` (401) エラーを返します。

### 管理者のアクセス許可
<a name="gr-setting-up-permissions-admin"></a>

Route 53 Global Resolver を初めて設定する場合、またはサービスのすべての側面を管理する場合は、管理者権限が必要です。以下の AWS 管理ポリシーを使用できます。
+ `AmazonRoute53GlobalResolverFullAccess` - グローバルリゾルバー、DNS ビュー、ファイアウォールルール、ドメインリストの作成、更新、削除など、Route 53 Global Resolver リソースへのフルアクセスを提供します。
+ `AmazonRoute53FullAccess` - プライベートホストゾーン転送を使用する場合は必須
+ `CloudWatchLogsFullAccess` - Amazon CloudWatch にログを送信する場合は必須です
+ `AmazonS3FullAccess` - Amazon S3 からファイアウォールドメインリストをインポートするか、Amazon S3 にログを送信する場合は必須です

### 読み取り専用のアクセス許可
<a name="gr-setting-up-permissions-readonly"></a>

Route 53 Global Resolver の設定とログのみを表示する必要がある場合は、次の AWS 管理ポリシーを使用できます。
+ `AmazonRoute53GlobalResolverReadOnlyAccess` - グローバルリゾルバー、DNS ビュー、ファイアウォールルール、ドメインリスト、アクセスソースの表示など、Route 53 Global Resolver リソースへの読み取り専用アクセスを提供します。
+ `AmazonRoute53ReadOnlyAccess` - プライベートホストゾーンの関連付けを表示するために必要です
+ `CloudWatchReadOnlyAccess` - Amazon CloudWatch でログを表示するために必要です
+ `AmazonS3ReadOnlyAccess` - Amazon S3 に保存されているファイアウォールドメインリストファイルを表示するために必要です

## ネットワークに関する考慮事項
<a name="gr-setting-up-network"></a>

Route 53 Global Resolver を実装する前に、次のネットワーク要件を考慮してください。

クライアント IP 範囲  
これは、アクセスソースベースの認証を使用する場合にのみ必要です。Route 53 Global Resolver を使用するすべてのクライアントの IP アドレス範囲 (CIDR ブロック) を特定します。アクセスソースのルールを設定するには、これらが必要です。

DNS プロトコル  
クライアントが使用する DNS プロトコルを決定します。  
+ **Do53** - ポート 53 経由の標準 DNS (UDP/TCP)
+ **DoH** - 暗号化されたクエリの DNS-over-HTTPS 
+ **DoT** - 暗号化されたクエリの DNS-over-TLS 

ファイアウォールとセキュリティグループ  
ネットワークファイアウォールとセキュリティグループが、適切なポート (Do53 の場合は 53、DoH の場合は 443、DoT の場合は 853) で Route 53 Global Resolver のエニーキャスト IP アドレスへのアウトバウンドトラフィックを許可していることを確認します。 Do53 DoH DoT