翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Route 53 での Identity and Access Management
( AWS Identity and Access Management IAM) では、ドメインの登録やレコードの更新など、Amazon Route 53 リソースに対してオペレーションを実行するには、承認された AWS ユーザーであることを認証する必要があります。Route 53 コンソールを使用している場合は、 AWS ユーザー名およびパスワードを指定して、自分の ID を認証します。
ID を認証すると、IAM は、オペレーションを実行し、リソースにアクセスするためのアクセス許可があること AWS を確認して、 へのアクセスを制御します。アカウント管理者である場合、IAM を使用して、アカウントに関連付けられたリソースへの他のユーザーのアクセスをコントロールできます。
この章では、[IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) および Route 53 を使ってリソースを保護する方法について説明します。
**Topics**
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [アクセスコントロール](#access-control)
+ [Amazon Route 53 リソースに対するアクセス許可の管理の概要](access-control-overview.md)
+ [Amazon Route 53 での ID ベースのポリシー (IAM ポリシー) の使用](access-control-managing-permissions.md)
+ [のサービスにリンクされたロールの使用 Amazon Route 53 Resolver](using-service-linked-roles.md)
+ [AWS Amazon Route 53 の マネージドポリシー](security-iam-awsmanpol-route53.md)
+ [詳細に設定されたアクセスコントロールのための IAM ポリシー条件の使用](specifying-conditions-route53.md)
+ [Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)
## アイデンティティを使用した認証
認証は、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## アクセスコントロール
Amazon Route 53 リソースを作成、更新、削除、またはリストするには、オペレーションを実行するアクセス許可と、対応するリソースにアクセスするアクセス許可が必要です。
以下のセクションでは、Route 53 のアクセス許可を管理する方法について説明します。最初に概要のセクションを読むことをお勧めします。
**Topics**
# Amazon Route 53 リソースに対するアクセス許可の管理の概要
すべての AWS リソースは AWS アカウントによって所有され、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。
**注記**
*アカウント管理者* (または管理者ユーザー) は、管理者権限を持つユーザーです。管理者の詳細については、*IAM ユーザーガイド*の「[IAM ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
アクセス許可を付与するときは、アクセス許可を取得するユーザー、アクセス許可を取得する対象のリソース、およびアクセス許可を取得して実行するアクションを決定します。
ユーザーが の AWS 外部で を操作する場合は、プログラムによるアクセスが必要です AWS マネジメントコンソール。プログラムによるアクセスを許可する方法は、 がアクセスするユーザーのタイプによって異なります AWS。
ユーザーにプログラムによるアクセス権を付与するには、以下のいずれかのオプションを選択します。
****
| プログラムによるアクセス権を必要とするユーザー | 目的 | 方法 |
| --- | --- | --- |
| IAM | (推奨) コンソール認証情報を一時的な認証情報として使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/access-control-overview.html) |
| ワークフォースアイデンティティ (IAM アイデンティティセンターで管理されているユーザー) | 一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | 一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 「IAM [ユーザーガイド」の「 AWS リソースでの一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)の使用」の手順に従います。 |
| IAM | (非推奨)長期認証情報を使用して、 AWS CLI、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [Amazon Route 53 リソースの ARN](#access-control-resources)
+ [リソース所有権についての理解](#access-control-owner)
+ [リソースへのアクセスの管理](#access-control-manage-access-intro)
+ [ポリシー要素の指定: リソース、アクション、効果、プリンシパル](#access-control-specify-r53-actions)
+ [ポリシーでの条件を指定する](#specifying-conditions)
## Amazon Route 53 リソースの ARN
Amazon Route 53 は、DNS、ヘルスチェック、ドメイン登録用にさまざまなリソースタイプをサポートしています。ポリシーでは、ARN の `*` を使用して、以下のリソースへのアクセスを許可したり、拒否することができます。
+ ヘルスチェック
+ ホストゾーン
+ 再利用可能な委託セット
+ リソースレコードセット変更バッチのステータス (API のみ)
+ トラフィックポリシー (トラフィックフロー)
+ トラフィックポリシーのインスタンス (トラフィックフロー)
すべての Route 53 リソースでアクセス許可がサポートされているわけではありません。次のリソースへのアクセスを許可したり拒否したりすることはできません。
+ ドメイン
+ 個々のレコード
+ ドメインのタグ
+ ヘルスチェックのタグ
+ ホストゾーンのタグ
Route 53 には、これらの各タイプのリソースで使用できる API アクションが用意されています。詳細については、「[Amazon Route 53 API リファレンス](https://docs.aws.amazon.com/Route53/latest/APIReference/)」を参照してください。各アクションを使用するアクセス許可を付与または拒否するために指定するアクションおよび ARN のリストについては、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
## リソース所有権についての理解
AWS アカウントは、リソースを作成したユーザーに関係なく、アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエストを認証するプリンシパルエンティティ (ルートアカウント、または IAM ロール) AWS のアカウントです。
次の例は、この仕組みを示しています。
+ AWS アカウントのルートアカウントの認証情報を使用してホストゾーンを作成する場合、 AWS アカウントはリソースの所有者です。
+ AWS アカウントにユーザーを作成し、そのユーザーにホストゾーンを作成するアクセス許可を付与すると、そのユーザーはホストゾーンを作成できます。ただし、ユーザーが属する AWS アカウントはホストゾーンリソースを所有しています。
+ AWS アカウントにホストゾーンを作成するアクセス許可を持つ IAM ロールを作成すると、ロールを引き受けることのできるすべてのユーザーがホストゾーンを作成できます。ロールが属する AWS アカウントは、ホストゾーンリソースを所有します。
## リソースへのアクセスの管理
*アクセス許可のポリシー*では、誰が何にアクセスできるかを指定します。このセクションでは、Amazon Route 53 のアクセス許可ポリシーを作成するために使用可能なオプションについて説明します。IAM ポリシー構文の概説については、*IAM ユーザーガイド*の [AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)を参照してください。
IAM ID にアタッチされたポリシーは *ID ベース*のポリシー (IAM ポリシー) と呼ばれ、リソースにアタッチされたポリシーは*リソースベース*のポリシーと呼ばれます。Route 53 では、ID ベースのポリシー (IAM ポリシー) のみサポートされます。
**Topics**
+ [アイデンティティベースのポリシー (IAM ポリシー)](#access-control-manage-access-intro-iam-policies)
+ [リソースベースのポリシー](#access-control-manage-access-intro-resource-policies)
### アイデンティティベースのポリシー (IAM ポリシー)
ポリシーを IAM アイデンティティにアタッチできます。例えば、次の操作を実行できます。
+ **アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする** – アカウント管理者は、特定のユーザーに関連付けられるアクセス許可ポリシーを使用して、そのユーザーに Amazon Route 53 リソースの作成を許可するアクセス許可を付与することができます。
+ **アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する)** – 別の AWS アカウントによって作成されたユーザーに Route 53 アクションを実行するアクセス許可を付与できます。そのためには、IAM ロールにアクセス許可ポリシーをアタッチし、他のアカウントのユーザーがそのロールを引き受けられるようにします。次の例では、これがアカウント A とアカウント B の 2 つの AWS アカウントでどのように機能するかを説明します。
1. アカウント A の管理者は、IAM ロールを作成して、アカウント A が所有するリソースの作成や操作をするアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。
1. アカウント A の管理者は、ロールに信頼ポリシーをアタッチします。信頼ポリシーは、ロールを引き受けることのできるプリンシパルとしてアカウント B を識別します。
1. 次に、アカウント B の管理者は、ロールを引き受けるアクセス許可をアカウント B のユーザーまたはグループに委任できます。これにより、アカウント B のユーザーはアカウント A でリソースを作成したり、リソースにアクセスしたりできます。
別の AWS アカウントのユーザーに権限を委任する方法の詳細については、*IAM ユーザーガイド*の[「アクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。
次のポリシー例では、ユーザーが `CreateHostedZone` アクションを実行し、 AWS アカウントのパブリックホストゾーンを作成できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
プライベートホストゾーンにもポリシーを適用する場合、次の例に示すように、Route 53 `AssociateVPCWithHostedZone` アクションと 2 つの Amazon EC2 アクション (`DescribeVpcs` と `DescribeRegion`) を使用するためのアクセス許可を付与する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
Route 53 の ID へのポリシーのアタッチの詳細については、「[Amazon Route 53 での ID ベースのポリシー (IAM ポリシー) の使用](access-control-managing-permissions.md)」を参照してください。ユーザー、グループ、ロール、アクセス権限の詳細については、「*IAM ユーザーガイド*」の「[ID (ユーザー、グループ、ロール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。
### リソースベースのポリシー
Amazon S3 などの他のサービスでは、リソースへのアクセス許可ポリシーのアタッチもサポートされています。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。Amazon Route 53 では、リソースへのポリシーのアタッチはサポートされません。
## ポリシー要素の指定: リソース、アクション、効果、プリンシパル
Amazon Route 53 には、各 Route 53 リソース ([Amazon Route 53 リソースの ARN](#access-control-resources) 参照) で使用できる API アクション (「[Amazon Route 53 API リファレンス](https://docs.aws.amazon.com/Route53/latest/APIReference/)」参照) が含まれています。これらのアクションの一部またはすべてを実行するアクセス許可を、ユーザーまたはフェデレーティッドユーザーに付与できます。ドメインの登録など、一部の API アクションでは複数のアクションを実行する権限が必要な点に注意してください。
以下は、基本的なポリシーの要素です。
+ **リソース** - Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「[Amazon Route 53 リソースの ARN](#access-control-resources)」を参照してください。
+ **アクション** - アクションのキーワードを使用して、許可または拒否するリソースオペレーションを識別します。例えば、指定された `Effect` に応じて、`route53:CreateHostedZone` アクセス許可によって Route 53 `CreateHostedZone` アクションの実行がユーザーに許可または拒否されます。
+ **効果** - ユーザーが指定されたリソースでアクションの実行を試みた場合の、許可または拒否の効果を指定します。アクションへのアクセスを明示的に許可していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
+ **プリンシパル** - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。Route 53 では、リソースベースのポリシー はサポートされていません。
IAM ポリシー構文の詳細と説明については、*IAM ユーザーガイド*の[AWS IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)を参照してください。
適用する Route 53 API オペレーションやリソースがすべて表示されているテーブルのについては、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
## ポリシーでの条件を指定する
アクセス許可を付与するとき、IAM ポリシー言語を使用して、いつポリシーが有効になるかを指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。Route 53 に固有の条件キーはありません。ただし、必要に応じて使用できる AWS 幅広い条件キーがあります。 AWS ワイドキーの完全なリストについては、*「IAM ユーザーガイド*」の[「条件に使用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。
# Amazon Route 53 での ID ベースのポリシー (IAM ポリシー) の使用
このトピックでは、アカウント管理者が IAM アイデンティティに許可ポリシーをアタッチし、そうすることによって Amazon Route 53 リソースで操作を実行する許可を付与する方法を示す、アイデンティティベースのポリシーの例を提供します。
**重要**
初めに、Route 53 リソースへのアクセスを管理するための基本概念とオプションについて説明する概要トピックをお読みになることをお勧めします。詳細については、「[Amazon Route 53 リソースに対するアクセス許可の管理の概要](access-control-overview.md)」を参照してください。
**注記**
アクセスを許可する場合、ホストゾーンと Amazon VPC は同じパーティションに属している必要があります。パーティションは のグループです AWS リージョン。各 AWS アカウント は 1 つのパーティションにスコープされます。
サポートされているパーティションは以下のとおりです。
`aws` - AWS リージョン
`aws-cn` - 中国リージョン
`aws-us-gov` - AWS GovCloud (US) Region
詳細については、「*AWS 一般参照*」の「[アクセス管理](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」と「[Amazon Route 53 エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/r53.html)」を参照してください。
**Topics**
+ [Amazon Route 53 コンソールを使用するために必要なアクセス許可](#console-required-permissions)
+ [ドメインレコード所有者のアクセス許可の例](#example-permissions-record-owner)
+ [DNSSEC 署名に必要な Route 53 カスタマー管理キーアクセス許可](#KMS-key-policy-for-DNSSEC)
+ [カスタマーマネージドポリシーの例](#access-policy-examples-for-sdk-cli)
以下の例に示しているのは、アクセス許可ポリシーです。`Sid` (ステートメント ID) はオプションです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AllowPublicHostedZonePermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:UpdateHostedZoneComment",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:DeleteHostedZone",
"route53:ChangeResourceRecordSets",
"route53:ListResourceRecordSets",
"route53:GetHostedZoneCount",
"route53:ListHostedZonesByName"
],
"Resource": "*"
},
{
"Sid" : "AllowHealthCheckPermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:GetHealthCheck",
"route53:ListHealthChecks",
"route53:DeleteHealthCheck",
"route53:GetCheckerIpRanges",
"route53:GetHealthCheckCount",
"route53:GetHealthCheckStatus",
"route53:GetHealthCheckLastFailureReason"
],
"Resource": "*"
}
]
}
```
------
ポリシーには、2 つのステートメントが含まれています。
+ 最初のステートメントでは、パブリックホストゾーンとそのレコードの作成と管理に必要なアクションに対する権限が付与されます。Amazon リソースネーム (ARN) のワイルドカード文字 (\$1) は、現在の AWS アカウントが所有するすべてのホストゾーンへのアクセスを許可します。
+ 2 番目のステートメントでは、ヘルスチェックの作成と管理に必要なすべてのアクションに対する権限が付与されます。
各アクションを使用するアクセス許可を付与または拒否するために指定するアクションおよび ARN のリストについては、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
## Amazon Route 53 コンソールを使用するために必要なアクセス許可
Amazon Route 53 コンソールへのフルアクセスを許可するには、次のアクセス許可ポリシーでアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:*",
"route53domains:*",
"tag:*",
"ssm:GetParametersByPath",
"cloudfront:ListDistributions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"sns:CreateTopic",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateKey",
"kms:CreateAlias",
"kms:Sign",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
アクセス許可が必要な理由は次のとおりです。
**`route53:*`**
以下を*除く*すべての Route 53 アクションを実行できます。
+ [**エイリアス先**] の値が CloudFront ディストリビューション、Elastic Load Balancing ロードバランサー、Elastic Beanstalk 環境、または Amazon S3 バケットであるエイリアスレコードを作成および更新する。(これらの権限があると、[**Alias Target**] (エイリアス先) の値が同じホストゾーン内の別のレコードであるエイリアスレコードを作成できます)
+ プライベートホストゾーンを操作する。
+ ドメインを操作する。
+ CloudWatch アラームを作成、削除、および表示する。
+ Route 53 コンソールで CloudWatch メトリクスをレンダリングします。
**`route53domains:*`**
ドメインの操作を許可します。
`route53` のアクションを個別にリストする場合は、`route53:CreateHostedZone` を含めてドメインを操作する必要があります。ドメインを登録すると同時にホストゾーンも作成されるため、ドメインを登録する権限を含むポリシーにはホストゾーンを作成する権限も必要です
(ドメイン登録について、Route 53 は個別のリソースへのアクセス許可の付与または拒否をサポートしていません)。
**`route53resolver:*`**
Route 53 VPC Resolver を操作できます。
**`ssm:GetParametersByPath`**
新しいエイリアスレコード、プライベートホストゾーン、ヘルスチェックを作成するときに、公開されているリージョンを取得できます。
**`cloudfront:ListDistributions`**
**[Alias Target]** (エイリアス先) の値が CloudFront ディストリビューションとなるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、ディストリビューションのリストを取得してコンソールに表示する場合のみ、これを使用します。
**`elasticloadbalancing:DescribeLoadBalancers`**
[**Alias Target(エイリアス先)**] の値が ELB ロードバランサーとなるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、ロードバランサーのリストを取得してコンソールに表示する場合のみ、これを使用します。
**`elasticbeanstalk:DescribeEnvironments`**
**[Alias Target]** (エイリアス先) の値が Elastic Beanstalk 環境となるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、環境のリストを取得してコンソールに表示する場合のみ、これを使用します。
**`s3:ListAllMyBuckets`、`s3:GetBucketLocation`、および `s3:GetBucketWebsite`**
**[Alias Target]** (エイリアス先) の値が Amazon S3 バケットとなるエイリアスレコードを作成および更新できます。(Amazon S3 バケットのエイリアスは、バケットがウェブサイトエンドポイントとして設定されている場合のみ作成できます。`s3:GetBucketWebsite` は必要な設定情報を取得します)。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、バケットのリストを取得してコンソールに表示する場合のみ、これを使用します。
**`ec2:DescribeVpcs`: 、および `ec2:DescribeRegions`**
プライベートホストゾーンの操作を許可します。
**すべてのリストされている `ec2` アクセス許可**
Route 53 VPC Resolver を操作できます。
**`sns:ListTopics`, `sns:ListSubscriptionsByTopic`, `sns:CreateTopic`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms`**
CloudWatch アラームを作成、削除、および表示できます。
**`cloudwatch:GetMetricStatistics`**
CloudWatch メトリクスヘルスチェックを作成することができます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、統計を取得してコンソールに表示する場合のみ、これを使用します。
**`apigateway:GET`**
[**エイリアス先**] の値が Amazon API Gateway の API であるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、このアクセス許可は必要ありません。Route 53 は、API のリストを取得してコンソールに表示する場合のみ、これを使用します。
**`kms:*`**
を使用して DNSSEC 署名 AWS KMS を有効にできます。
## ドメインレコード所有者のアクセス許可の例
リソースレコードセットのアクセス許可を使用すると、 AWS ユーザーが更新または変更できる内容を制限する詳細なアクセス許可を設定できます。詳細については、「[詳細に設定されたアクセスコントロールのための IAM ポリシー条件の使用](specifying-conditions-route53.md)」を参照してください。
場合によっては、ホストゾーンの所有者がホストゾーンの全体的な管理を担当し、組織内の別のユーザーがそれらのタスクのサブセットを担当することがあります。例えば、DNSSEC 署名を有効にしたホストゾーンの所有者は、他のユーザーがホストゾーンの Resource Set Records (RR) を追加および削除するためのアクセス許可などを含む IAM ポリシーを作成したい場合があります。ホストゾーン所有者がレコード所有者または他のユーザーに対して有効にする特定のアクセス許可は、組織のポリシーによって異なります。
以下は、レコード所有者に RR、トラフィックポリシー、ヘルスチェックの変更を許可する IAM ポリシーの例です。このポリシーを持つレコード所有者は、ゾーンの作成と削除、クエリログの有効化または無効化、再利用可能な委任セットの作成と削除、DNSSEC 設定の変更など、ゾーンレベルの操作を実行できません。
```
{
"Sid": "Do not allow zone-level modification ",
"Effect": "Allow",
"Action": [
"route53:ChangeResourceRecordSets",
"route53:CreateTrafficPolicy",
"route53:DeleteTrafficPolicy",
"route53:CreateTrafficPolicyInstance",
"route53:CreateTrafficPolicyVersion",
"route53:UpdateTrafficPolicyInstance",
"route53:UpdateTrafficPolicyComment",
"route53:DeleteTrafficPolicyInstance",
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck",
"route53:List*",
"route53:Get*"
],
"Resource": [
"*"
]
}
```
## DNSSEC 署名に必要な Route 53 カスタマー管理キーアクセス許可
Route 53 の DNSSEC 署名を有効にすると、Route 53 は AWS Key Management Service () のカスタマーマネージドキーに基づいてキー署名キー (KSK) を作成しますAWS KMS。DNSSEC 署名をサポートしている既存のカスタマー管理キーを使用することも、新しいカスタマー管理キーを作成することもできます。Route 53 は、KSK を作成できるようにカスタマー管理キーにアクセスするアクセス許可を持っている必要があります。
Route 53 がカスタマー管理キーにアクセスできるようにするには、カスタマー管理キーポリシーに次のステートメントが含まれていることを確認します。
```
{
"Sid": "Allow Route 53 DNSSEC Service",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:DescribeKey",
"kms:GetPublicKey",
"kms:Sign"],
"Resource": "*"
},
{
"Sid": "Allow Route 53 DNSSEC to CreateGrant",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:CreateGrant"],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
```
混乱した使節の問題は、アクションを実行するためのアクセス許可を持たないエンティティが、自分より特権があるエンティティにアクションの実行を強制できてしまう状況が発生するセキュリティ上の問題です。 AWS KMS から を保護するために、オプションで `aws:SourceAccount`条件と `aws:SourceArn`条件 (両方または 1 つ) の組み合わせを指定することで、サービスが持つアクセス許可をリソースベースのポリシーのリソースに制限できます。 `aws:SourceAccount`はホストゾーンの所有者の AWS アカウント ID です。 はホストゾーンの ARN `aws:SourceArn`です。
以下の内容は追加できる許可の例を 2 つ示したものです:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/HOSTED_ZONE_ID"
}
}
},
```
- または -
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["1111-2222-3333","4444-5555-6666"]
},
"ArnLike": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/*"
}
}
},
```
詳細については、*IAM ユーザーガイド* の [混乱した代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) を参照してください。
## カスタマーマネージドポリシーの例
独自のカスタム IAM ポリシーを作成して、Route 53 アクションにアクセス許可を付与することもできます。これらのカスタムポリシーは、指定された許可を必要とする IAM グループにアタッチできます。これらのポリシーは、Route 53 API、 AWS SDKs、または AWS CLI を使用している場合に機能します。次の例では、いくつかの一般的ユースケースのアクセス許可を示します。Route 53 へのフルアクセスをユーザーに許可するポリシーについては、「[Amazon Route 53 コンソールを使用するために必要なアクセス許可](#console-required-permissions)」を参照してください。
**Topics**
+ [例 1: すべてのホストゾーンへの読み取りアクセスを許可する](#access-policy-example-allow-read-hosted-zones)
+ [例 2: ホストゾーンの作成と削除を許可する](#access-policy-example-allow-create-delete-hosted-zones)
+ [例 3: すべてのドメインに対するフルアクセスを許可する (パブリックホストゾーンのみ)](#access-policy-example-allow-full-domain-access)
+ [例 4: インバウンドおよびアウトバウンドの Route 53 VPC Resolver エンドポイントの作成を許可する](#access-policy-example-create-resolver-endpoints)
### 例 1: すべてのホストゾーンへの読み取りアクセスを許可する
以下の権限ポリシーは、すべてのホストゾーンをリストし、ホストゾーン内のすべてのレコードを表示するユーザー権限を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:GetHostedZone",
"route53:ListResourceRecordSets"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:ListHostedZones"],
"Resource":"*"
}
]
}
```
------
### 例 2: ホストゾーンの作成と削除を許可する
次の権限ポリシーは、ホストゾーンの作成と削除、および変更の進行状況の追跡をユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["route53:CreateHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:DeleteHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:GetChange"],
"Resource":"*"
}
]
}
```
------
### 例 3: すべてのドメインに対するフルアクセスを許可する (パブリックホストゾーンのみ)
次の権限ポリシーは、ドメインの登録権限やホストゾーンの作成権限など、ドメイン登録に関するすべてのアクションの実行をユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53domains:*",
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
ドメインを登録すると同時にホストゾーンも作成されるため、ドメインを登録する権限を含むポリシーにはホストゾーンを作成する権限も必要です (ドメイン登録について、Route 53 は個別のリソースへのアクセス許可の付与をサポートしていません)。
プライベートホストゾーンを操作するために必要なアクセス許可については、「[Amazon Route 53 コンソールを使用するために必要なアクセス許可](#console-required-permissions)」を参照してください。
### 例 4: インバウンドおよびアウトバウンドの Route 53 VPC Resolver エンドポイントの作成を許可する
次のアクセス許可ポリシーは、ユーザーが Route 53 コンソールを使用して Resolver のインバウンドおよびアウトバウンドエンドポイントを作成することを許可します。
これらのアクセス許可の一部は、コンソールでエンドポイントを作成するためにのみ必要です。インバウンドおよびアウトバウンドエンドポイントのみをプログラムで作成するアクセス許可を付与する場合は、これらのアクセス許可を省略できます。
+ `route53resolver:ListResolverEndpoints` では、インバウンドまたはアウトバウンドエンドポイントのリストが表示されるため、ユーザーはエンドポイントが作成されたことを確認できます。
+ `DescribeAvailabilityZones` は、アベイラビリティーゾーンのリストを表示するために必要です。
+ `DescribeVpcs` は VPC のリストを表示するために必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53resolver:CreateResolverEndpoint",
"route53resolver:ListResolverEndpoints",
"ec2:CreateNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# のサービスにリンクされたロールの使用 Amazon Route 53 Resolver
Route 53 VPC Resolver は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、VPC Resolver に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは VPC Resolver によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、VPC リゾルバーの設定が簡単になります。VPC Resolver は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、VPC Resolver のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティに添付することはできません。
サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これにより、VPC Resolver リソースへのアクセス許可が誤って削除されないため、VPC Resolver リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを探してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
**Topics**
+ [VPC リゾルバーのサービスにリンクされたロールのアクセス許可](#slr-permissions)
+ [VPC リゾルバーのサービスにリンクされたロールの作成](#create-slr)
+ [VPC リゾルバーのサービスにリンクされたロールの編集](#edit-slr)
+ [VPC リゾルバーのサービスにリンクされたロールの削除](#delete-slr)
+ [VPC Resolver のサービスにリンクされたロールでサポートされているリージョン](#slr-regions)
## VPC リゾルバーのサービスにリンクされたロールのアクセス許可
VPC Resolver は、**`AWSServiceRoleForRoute53Resolver`**サービスにリンクされたロールを使用して、ユーザーに代わってクエリログを配信します。
ロールのアクセス許可ポリシーにより、VPC Resolver はリソースに対して次のアクションを実行できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups",
"s3:GetBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## VPC リゾルバーのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。Amazon Route 53 コンソール、、 AWS CLIまたは AWS API でリゾルバークエリログ設定の関連付けを作成すると、VPC Resolver によってサービスにリンクされたロールが作成されます。
**重要**
このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、サービスにリンクされたロールのサポートを開始した 2020 年 8 月 12 日より前に VPC Resolver サービスを使用している場合、VPC Resolver はアカウントに`AWSServiceRoleForRoute53Resolver`ロールを作成しました。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。新しい Resolver クエリログ設定の関連付けを作成すると、`AWSServiceRoleForRoute53Resolver` というサービスにリンクされたロールが再度作成されます。
## VPC リゾルバーのサービスにリンクされたロールの編集
VPC Resolver では、`AWSServiceRoleForRoute53Resolver`サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## VPC リゾルバーのサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除しようとしたときに VPC Resolver サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
**で使用される VPC Resolver リソースを削除するには `AWSServiceRoleForRoute53Resolver`**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) で Route 53 コンソールを開きます。
1. Route 53 コンソールのメニューを展開します。コンソールの左上隅にある 3 本の水平バー (![\[Menu icon\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/images/menu-icon.png)) アイコンを選択します。
1. **Resolver** メニューから、**[Query logging (クエリログ記録)]** を選択します。
1. クエリログ設定の名前の横にあるチェックボックスをオンにし、[**Delete (削除) **]を選択します。
1. [**Delete query logging configuration (クエリログ記録設定を削除) **] テキストボックスで [**Stop logging queries (クエリログ記録を停止) **] を選択します。
これにより、VPC から設定の関連付けが解除されます。また、クエリログ設定の関連付けをプログラムで解除することもできます。詳細については、[「disassociate-resolver-query-log-config」](https://docs.aws.amazon.com//cli/latest/reference/route53resolver/disassociate-resolver-query-log-config.html)を参照してください。
1. クエリのログ記録が停止した後、オプションでフィールドに **delete** を入力し、[**Delete (削除) **] を選択してクエリログ設定を削除できます。ただし、`AWSServiceRoleForRoute53Resolver` で使用されるリソースを削除する場合、これは必要ありません。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、`AWSServiceRoleForRoute53Resolver`サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
## VPC Resolver のサービスにリンクされたロールでサポートされているリージョン
VPC Resolver は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしているわけではありません。以下のリージョンでは、`AWSServiceRoleForRoute53Resolver` ロールを使用できます。
****
| リージョン名 | リージョン識別子 | VPC Resolver でのサポート |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| 中国 (北京) | cn-north-1 | はい |
| 中国 (寧夏) | cn-northwest-1 | はい |
| AWS GovCloud (US) | us-gov-east-1 | はい |
| AWS GovCloud (US) | us-gov-west-1 | はい |
# AWS Amazon Route 53 の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AmazonRoute53FullAccess
`AmazonRoute53FullAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、ドメイン登録やヘルスチェックなど、Route 53 リソースへのフルアクセスを許可しますが、VPC Resolver は除きます。
**アクセス許可の詳細**
このポリシーには以下のアクセス許可が含まれています。
+ `route53:*` - 以下を*除く*すべての Route 53 アクションを実行できます。
+ [**エイリアス先**] の値が CloudFront ディストリビューション、Elastic Load Balancing ロードバランサー、Elastic Beanstalk 環境、または Amazon S3 バケットであるエイリアスレコードを作成および更新する。(これらの権限があると、[**Alias Target**] (エイリアス先) の値が同じホストゾーン内の別のレコードであるエイリアスレコードを作成できます)
+ プライベートホストゾーンを操作する。
+ ドメインを操作する。
+ CloudWatch アラームを作成、削除、および表示する。
+ Route 53 コンソールで CloudWatch メトリクスをレンダリングします。
+ `route53domains:*` - ドメインの操作を行うことができます。
+ `cloudfront:ListDistributions` - **[Alias Target (エイリアス先)]** の値が CloudFront ディストリビューションであるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、このアクセス許可は必要ありません。Route 53 は、ディストリビューションのリストを取得してコンソールに表示する場合のみ、これを使用します。
+ `cloudfront:GetDistributionTenantByDomain` – CloudFront マルチテナントディストリビューションを取得して、**エイリアスターゲット**の値が CloudFront ディストリビューションテナントであるエイリアスレコードを作成および更新するために使用されます。
+ `cloudfront:GetConnectionGroup` – CloudFront マルチテナントディストリビューションを取得して、**エイリアスターゲット**の値が CloudFront ディストリビューションテナントであるエイリアスレコードを作成および更新するために使用されます。
+ `cloudwatch:DescribeAlarms` – `sns:ListTopics` および `sns:ListSubscriptionsByTopic` と併用して、CloudWatch アラームを作成、削除、表示できます。
+ `cloudwatch:GetMetricStatistics` - CloudWatch メトリクスヘルスチェックを作成することができます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、統計を取得してコンソールに表示する場合のみ、これを使用します。
+ `cloudwatch:GetMetricData` – CloudWatch ヘルスチェックメトリクスのステータスを表示できます。
+ `ec2:DescribeVpcs` — VPC のリストを表示できます。
+ `ec2:DescribeVpcEndpoints` — VPC エンドポイントのリストを表示できます。
+ `ec2:DescribeRegions` — アベイラビリティーゾーンのリストを表示できます。
+ `elasticloadbalancing:DescribeLoadBalancers` - **[Alias Target (エイリアス先)]** の値が Elastic Load Balancing となるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、ロードバランサーのリストを取得してコンソールに表示する場合のみ、これを使用します。
+ `elasticbeanstalk:DescribeEnvironments` - **[Alias Target (エイリアス先)]** の値が Elastic Beanstalk 環境となるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、環境のリストを取得してコンソールに表示する場合のみ、これを使用します。
+ `es:ListDomainNames` – アクティブリージョン内で現在のユーザーが所有するすべての Amazon OpenSearch Service ドメイン名を表示できます。
+ `es:DescribeDomains` – 指定された Amazon OpenSearch Service ドメインのドメイン設定を取得できます。
+ `lightsail:GetContainerServices` – Lightsail コンテナサービスを使用して、**エイリアスターゲット**の値が Lightsail ドメインであるエイリアスレコードを作成および更新できます。
+ `s3:ListBucket`、`s3:GetBucketLocation`、`s3:GetBucketWebsite` - [**Alias Target**] (エイリアスのターゲット) の値が Amazon S3 バケットとなるエイリアスレコードを作成および更新できます。(Amazon S3 バケットのエイリアスは、バケットがウェブサイトエンドポイントとして設定されている場合のみ作成できます。`s3:GetBucketWebsite` は必要な設定情報を取得します)。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、バケットのリストを取得してコンソールに表示する場合のみ、これを使用します。
+ `sns:ListTopics`、`sns:ListSubscriptionsByTopic`、`cloudwatch:DescribeAlarms` – CloudWatch アラームを作成、削除、表示できます。
+ `tag:GetResources` – リソース内のタグを表示できます。例えば、ヘルスチェックの名前などです。
+ `apigateway:GET` - **[Alias Target (エイリアス先)]** の値が Amazon API Gateway のAPI であるエイリアスレコードを作成および更新できます。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53ReadOnlyAccess
`AmazonRoute53ReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、ドメイン登録やヘルスチェックなど、Route 53 リソースへの読み取り専用アクセスを許可しますが、VPC Resolver は除きます。
**アクセス許可の詳細**
このポリシーには以下のアクセス許可が含まれています。
+ `route53:Get*` — Route 53 リソースを取得します。
+ `route53:List*` - Route 53 リソースを一覧表示します。
+ `route53:TestDNSAnswer` — DNS リクエストに応答して Route 53 が返す値を取得します。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53DomainsFullAccess
`AmazonRoute53DomainsFullAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Route 53 ドメイン登録リソースへのフルアクセスを付与します。
**アクセス許可の詳細**
このポリシーには以下のアクセス許可が含まれています。
+ `route53:CreateHostedZone` — Route 53 ホストゾーンを作成できます。
+ `route53domains:*` — ドメイン名を登録し、関連する操作を実行できます。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53DomainsReadOnlyAccess
`AmazonRoute53DomainsReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Route 53 ドメイン登録リソースへの読み取り専用アクセスを付与します。
**アクセス許可の詳細**
このポリシーには以下のアクセス許可が含まれています。
+ `route53domains:Get*` — Route 53 からドメインのリストを取得できます。
+ `route53domains:List*` — Route 53 ドメインのリストを表示できます。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53ResolverFullAccess
`AmazonRoute53ResolverFullAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Route 53 VPC Resolver リソースへのフルアクセスを許可します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `route53resolver:*` – Route 53 コンソールで VPC Resolver リソースを作成および管理できます。
+ `ec2:DescribeSubnets` — Amazon VPC サブネットを一覧表示できVます。
+ `ec2:CreateNetworkInterface`、`ec2:DeleteNetworkInterface`、`ec2:ModifyNetworkInterfaceAttribute` — ネットワークインターフェイスを作成、変更、削除できます。
+ `ec2:DescribeNetworkInterfaces` — ネットワークインターフェイスのリストを表示します。
+ `ec2:DescribeSecurityGroups` — すべてのセキュリティグループのリストを表示できます。
+ `ec2:DescribeVpcs` — VPC のリストを表示できます。
+ `ec2:DescribeAvailabilityZones` — 使用可能なゾーンを一覧表示します。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53ResolverReadOnlyAccess
`AmazonRoute53ResolverReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Route 53 VPC Resolver リソースへの読み取り専用アクセスを許可します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `route53resolver:Get*` – VPC Resolver リソースを取得します。
+ `route53resolver:List*` – VPC Resolver リソースのリストを表示できます。
+ `ec2:DescribeNetworkInterfaces` — ネットワークインターフェイスのリストを表示します。
+ `ec2:DescribeSecurityGroups` — すべてのセキュリティグループのリストを表示できます。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: Route53ResolverServiceRolePolicy
IAM エンティティに `Route53ResolverServiceRolePolicy` をアタッチすることはできません。このポリシーは、Route 53 VPC Resolver が VPC Resolver によって使用または管理されるサービスおよびリソースにアクセス AWS できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[のサービスにリンクされたロールの使用 Amazon Route 53 Resolver](using-service-linked-roles.md)」を参照してください。
## AWS マネージドポリシー: AmazonRoute53ProfilesFullAccess
`AmazonRoute53ProfilesReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、Amazon Route 53 プロファイルリソースへのフルアクセス権を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `route53profiles` — Route 53 コンソールでプロファイルリソースを作成および管理できます。
+ `ec2` – プリンシパルが VPC に関する情報を取得するのを許可します。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53ProfilesReadOnlyAccess
`AmazonRoute53ProfilesReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、すべての Amazon Route 53 プロファイルリソースへの読み取り専用アクセス権を付与します。
**アクセス許可の詳細**
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 管理ポリシーへの Route 53 の更新
このサービスがこれらの変更の追跡を開始してからの Route 53 の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、Route 53 の [[ドキュメントの履歴] ](History.md)ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 更新されたポリシー | `cloudwatch:GetMetricData`、`tag:GetResources`、`es:ListDomainNames`、`es:DescribeDomains`、`cloudfront:GetDistributionTenantByDomain`、`cloudfront:GetConnectionGroup`、`lightsail:GetContainerServices` のアクセス許可を追加します。これらのアクセス許可により、最大 500 個の CloudWatch ヘルスチェックメトリクス、最大 100 個のヘルスチェック名の取得、指定された Amazon OpenSearch Service ドメインのドメイン設定の取得、アクティブなリージョンの現在のユーザーが所有するすべての Amazon OpenSearch Service ドメイン名の一覧表示、CloudFront マルチテナントディストリビューションの取得、Lightsail コンテナサービスの取得を行えます。 | 2025 年 6 月 1 日 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) – 更新されたポリシー | `GetProfilePolicy` と `PutProfilePolicy` のアクセス許可を追加します。これらはアクセス許可のみの IAM アクションです。IAM プリンシパルにこれらのアクセス許可が付与されていない場合、 AWS RAM サービスを使用してプロファイルを共有しようとするとエラーが発生します。 | 2024 年 8 月 27 日 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) – 更新されたポリシー | `GetProfilePolicy` にアクセス許可を追加します。これはアクセス許可のみの IAM アクションです。IAM プリンシパルにこのアクセス許可が付与されていない場合、 AWS RAM サービスを使用してプロファイルのポリシーにアクセスしようとするとエラーが発生します。 | 2024 年 8 月 27 日 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) – 更新されたポリシー | ポリシーを一意に識別するためのステートメント ID (Sid) を追加しました。 | 2024 年 8 月 5 日 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) – 更新されたポリシー | ポリシーを一意に識別するためのステートメント ID (Sid) を追加しました。 | 2024 年 8 月 5 日 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) – 新しいポリシー | Amazon Route 53 は、Amazon Route 53 プロファイルリソースへのフルアクセスを許可する新しいポリシーを追加しました。 | 2024 年 4 月 22 日 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) – 新しいポリシー | Amazon Route 53 は、Amazon Route 53 プロファイルリソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。 | 2024 年 4 月 22 日 |
| [Route53ResolverServiceRolePolicy](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) – 新しいポリシー | Amazon Route 53 は、VPC Resolver が Resolver によって使用または管理される AWS サービスとリソースにアクセスできるようにするサービスにリンクされたロールにアタッチされた新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) – 新しいポリシー | Amazon Route 53 は、VPC Resolver リソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) – 新しいポリシー | Amazon Route 53 は、VPC Resolver リソースへのフルアクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) – 新しいポリシー | Amazon Route 53 は、Route 53 ドメインリソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) – 新しいポリシー | Amazon Route 53 は、Route 53 ドメインリソースへのフルアクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) – 新しいポリシー | Amazon Route 53 は、Route 53 リソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 新しいポリシー | Amazon Route 53 は、Route 53 リソースへのフルアクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| Route 53 で、変更追跡のサポート開始 | Route 53 は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 7 月 14 日 |
# 詳細に設定されたアクセスコントロールのための IAM ポリシー条件の使用
Route 53 では、IAM ポリシーを使用してアクセス許可を付与するときに条件を指定できます (「[アクセスコントロール](security-iam.md#access-control)」参照)。例えば、以下のことが可能です:
+ 単一のリソースレコードセットへのアクセスを許可する。
+ ホストゾーン内の特定の DNS レコードタイプ (A レコードや AAAA レコードなど) のすべてのリソースレコードセットへのアクセスを許可する。
+ 名前に特定の文字列が含まれるリソースレコードセットへのアクセスをユーザーに許可する。
+ Route 53 コンソール上で、あるいは [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) API 使用時に、`CREATE | UPSERT | DELETE` アクションの一部のみの実行をユーザーに許可する。
+ 特定の VPC からプライベートホストゾーンを関連付けたり、関連付けを解除できるアクセス許可をユーザーに付与します。
+ 特定の VPC に関連付けられたホストゾーンを一覧表示できるアクセス許可をユーザーに付与します。
+ 新しいプライベートホストゾーンを作成し、特定の VPC に関連付けることができるアクセス許可をユーザーに付与します。
+ VPC 関連付け認可を作成または削除できるアクセス許可をユーザーに付与します。
また、任意のきめ細かなアクセス許可を組み合わせたアクセス許可を作成することもできます。
## Route 53 コンディションキー値の正規化
ポリシー条件に入力する値は、次のようにフォーマット (正規化) する必要があります。
**`route53:ChangeResourceRecordSetsNormalizedRecordNames` の場合**
+ すべての文字を小文字にする必要があります。
+ DNS 名は末尾のドットなしにする必要があります。
+ a~z、0~9、- (ハイフン)、\$1 (アンダースコア)、. (ラベル間の区切り文字としてのピリオド) 以外の文字は、\$1 に 3 桁の 8 進コードを続けた形式のエスケープコードを使用する必要があります。例えば、`\052 ` は文字 \$1 の 8 進コードです。
**`route53:ChangeResourceRecordSetsActions` では、値には次のいずれかを指定でき、大文字にする必要があります。**
+ CREATE
+ UPSERT
+ DELETE
**`route53:ChangeResourceRecordSetsRecordTypes` の場合**:
+ 値は大文字である必要があり、Route 53 がサポートするどの DNS レコードタイプでもかまいません。詳細については、「[サポートされる DNS レコードタイプ](ResourceRecordTypes.md)」を参照してください。
**`route53:VPCs` の場合:**
+ 値は、`VPCId=,VPCRegion=` 形式である必要があります。
+ `` と `` の値は、`VPCId=vpc-123abc` や `VPCRegion=us-east-1` などの小文字にする必要があります。
+ コンテキストキーと値では大文字と小文字が区別されます。
**重要**
アクセス許可で意図したとおりにアクションを許可または制限するには、次の規則に従う必要があります。この条件キーでは `VPCId`および `VPCRegion`要素のみが受け入れられ、 などの他の AWS リソース AWS アカウントはサポートされていません。
「*IAM ユーザーガイド*」の「[Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)」または「[Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)」を使用して、ポリシーで想定どおりにアクセス許可が付与または制限されていることを検証できます。IAM ポリシーをテストユーザーまたはロールに適用して Route 53 オペレーションを実行することで、アクセス許可を検証することもできます。
## 条件の指定: 条件キーの使用
AWS は、アクセスコントロールのために IAM をサポートするすべての AWS サービスに対して、一連の事前定義された条件キー (AWS全体の条件キー) を提供します。たとえば、`aws:SourceIp` 条件キーを使用して、リクエスタの IP アドレスを確認してから、アクションの実行を許可できます。詳細について、および AWS全体を対象とするキーのリストについては、「*IAM ユーザーガイド*」の「[Available Keys for Conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」(条件に使用可能なキー) を参照してください。
**注記**
Route 53 では、タグベースの条件キーはサポートされていません。
以下の表では、Route 53 に適用される Route 53 サービス固有の条件キーを示しています。
****
| Route 53 条件キー | API オペレーション | 値の型 | 説明 |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 複数値 | ChangeResourceRecordSets のリクエストに含まれる DNS レコード名のリストを表します。想定どおりの動作を実現するには、IAM ポリシーの DNS 名を次のように正規化する必要があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 複数値 | `ChangeResourceRecordSets` のリクエストに含まれる DNS レコードタイプのリストを表します。 `ChangeResourceRecordSetsRecordTypes` は、Route 53 でサポートされている DNS レコードタイプのどれでもかまいません。詳細については、「[サポートされる DNS レコードタイプ](ResourceRecordTypes.md)」を参照してください。ポリシーではすべて大文字で入力する必要があります。 |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 複数値 | `ChangeResourceRecordSets` のリクエストに含まれるアクションのリストを表します。 `ChangeResourceRecordSetsActions` は、次の値のどれでもかまいません (大文字である必要があります)。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [AssociateVPCWithHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [DisassociateVPCFromHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [CreateVPCAssociationAuthorization](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [DeleteVPCAssociationAuthorization](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | 複数値 | AssociateVPCWithHostedZone、DisassociateVPCFromHostedZone、ListHostedZonesByVPC、CreateHostedZone、CreateVPCAssociationAuthorization、DeleteVPCAssociationAuthorization のリクエスト内の VPC のリストを、「VPCId=,VPCRegion=」の形式で表します |
## ポリシー例: きめ細かなアクセスのための条件の使用
このセクションのそれぞれの例では、Effect 句を Allow に設定し、許可されるアクション、リソース、およびパラメータのみを指定します。IAM ポリシーで明示的に指定されたものへのアクセスだけが許可されます。
場合によっては、拒否ベースとなるようにこのポリシーを書き直すことができます。つまり、Effect 句を Deny に設定して、ポリシーのすべてのロジックを逆にします。ただし、拒否ベースのポリシーを使用しないことをお勧めします。このようなポリシーは、許可ベースのポリシーと比べて、正しく記述することが難しいためです。テキストの正規化が必要なため、これは特に Route 53 に当てはまります。
**特定の名前の DNS レコードへのアクセスを制限するアクセス許可を付与する**
次のアクセス許可ポリシーでは、example.com および marketing.example.com のホストゾーン Z12345 での `ChangeResourceRecordSets` アクションを許可する。このポリシーでは `route53:ChangeResourceRecordSetsNormalizedRecordNames` 条件キーを使用して、指定した名前に一致するレコードに対してのみにユーザーアクションを制限します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` は、複数値のキーに適用される IAM 条件演算子です。上記のポリシーの条件では、`ChangeResourceRecordSets` のすべての変更が example.com の DNS 名を持つ場合にのみオペレーションが許可されます。詳細については、「IAM ユーザーガイド」の「[IAM condition operators](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)」(IAM 条件演算子) と「[IAM condition with multiple keys or values](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)」(複数のキーまたは値を含む IAM 条件) 参照してください。
特定のサフィックスを含む名前に一致するアクセス許可を実装するには、条件演算子 `StringLike` または `StringNotLike` を含むポリシーで IAM ワイルドカード (\$1) を使用します。次のポリシーでは、`ChangeResourceRecordSets` オペレーションのすべての変更の DNS 名が「-beta.example.com」で終わる場合、オペレーションが許可されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**注記**
IAM ワイルドカードはドメイン名ワイルドカードとは異なります。ドメイン名でワイルドカードを使用する方法については、次の例を参照してください。
**ワイルドカードを含むドメイン名と一致する DNS レコードへのアクセスを制限するアクセス許可を付与する**
次のアクセス許可ポリシーでは、example.com のホストゾーン Z12345 での `ChangeResourceRecordSets` アクションを許可する。このポリシーでは `route53:ChangeResourceRecordSetsNormalizedRecordNames` を使用してユーザーアクションを \$1.example.com と一致するレコードのみに制限します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` は DNS 名の文字 \$1 の 8 進コードで、`\` に含まれる `\052` は JSON 構文に従ってエスケープされて `\\` になります。
**特定の DNS レコードへのアクセスを制限するアクセス許可を付与する**
次のアクセス許可ポリシーでは、example.com のホストゾーン Z12345 での `ChangeResourceRecordSets` アクションを許可する。3 つの条件キーの組み合わせを使用してユーザーアクションを制限し、特定の DNS 名とタイプの DNS レコードの作成または編集のみを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**指定されたタイプの DNS レコードのみの作成と編集にアクセスを制限するアクセス許可を付与する**
次のアクセス許可ポリシーでは、example.com のホストゾーン Z12345 での `ChangeResourceRecordSets` アクションを許可する。このポリシーでは `route53:ChangeResourceRecordSetsRecordTypes` 条件キーを使用して、指定したタイプ (A および AAAA) に一致するレコードに対してのみにユーザーアクションを制限します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**IAM プリンシパルで操作できる VPC を指定するアクセス許可を付与する**
次のアクセス許可ポリシーは、vpc-id で指定された VPC の `AssociateVPCWithHostedZone`、`DisassociateVPCFromHostedZone`、`ListHostedZonesByVPC`、`CreateHostedZone`、`CreateVPCAssociationAuthorization`、`DeleteVPCAssociationAuthorization` アクションを許可するアクセス許可を付与します。
**重要**
条件値は `VPCId=,VPCRegion=` の形式である必要があります。条件値に VPC ARN を指定した場合、条件キーは有効になりません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
# Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス
IAM ID にアタッチできるアクセス許可ポリシー (アイデンティティベースのポリシー) を設定[アクセスコントロール](security-iam.md#access-control)して記述する場合、*「サービス認可リファレンス*」の[「Route 53 のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)」、[「Route 53 ドメインのアクション、リソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53domains.html)[、および条件キー」、「VPC リゾルバーのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html)」、および[「Amazon Route 53 Profiles のアクション、リソース、および条件キー VPCs](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53profilesenablessharingdnssettingswithvpcs.html)」のリストを使用できます。ページには、各 Amazon Route 53 API アクション、アクセス許可を付与する必要があるアクション、アクセス許可を付与する必要がある AWS リソースが含まれます。ポリシーの `Action` フィールドでアクションを指定し、ポリシーの `Resource` フィールドでリソースの値を指定します。
Route 53 ポリシーで AWS全体の条件キーを使用して、条件を表現できます。 AWS全体のキーの完全なリストについては、*IAM ユーザーガイド*の[「使用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。
**注記**
アクセスを許可する場合、ホストゾーンと Amazon VPC は同じパーティションに属している必要があります。パーティションは のグループです AWS リージョン。各 AWS アカウント は 1 つのパーティションにスコープされます。
サポートされているパーティションは以下のとおりです。
`aws` - AWS リージョン
`aws-cn` - 中国リージョン
`aws-us-gov` - AWS GovCloud (US) Region
詳細については、*AWS 全般のリファレンス*の「[アクセス管理](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
**注記**
アクションを指定するには、次のように、該当するプレフィックス (`route53`、`route53domains`、`route53resolver` など) に続けて API オペレーション名を使用します。
`route53:CreateHostedZone`
`route53domains:RegisterDomain`
`route53resolver:CreateResolverEndpoint`