ablog

不器用で落着きのない技術者のメモ

Route53の特定HostedZoneしか変更できないIAMユーザーを作る

設定

  • IAMポリシー Route53HostedzoneAPolicy を作成する
    • ポリシーはテスト用に適当に作成しています。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPublicHostedZonePermissions",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "route53:GetHostedZoneCount",
                "route53:ListHostedZonesByName",
                "route53:ListTrafficPolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowPublicHostedZonePermissions2",
            "Effect": "Allow",
            "Action": [
                "route53:UpdateHostedZoneComment",
                "route53:GetHostedZone",
                "route53:ChangeResourceRecordSets",
                "route53:ListResourceRecordSets"
            ],
            "Resource": "arn:aws:route53:::hostedzone/Z2**********0"
        },
        {
            "Sid": "AllowHealthCheckPermissions",
            "Effect": "Allow",
            "Action": [
                "route53:CreateHealthCheck",
                "route53:UpdateHealthCheck",
                "route53:GetHealthCheck",
                "route53:ListHealthChecks",
                "route53:DeleteHealthCheck",
                "route53:GetCheckerIpRanges",
                "route53:GetHealthCheckCount",
                "route53:GetHealthCheckStatus",
                "route53:GetHealthCheckLastFailureReason"
            ],
            "Resource": "*"
        }
    ]
}
  • IAMユーザー Route53User を作成し、Route53HostedzoneAPolicy をアタッチする

動作確認

  • マネジメントコンソールに IAMユーザー Route53User でログインする。
  • Route53 のホステッドゾーンを一覧表示する。

  • 許可しているホステッドゾーンは参照できる。

  • それ以外のホステッドゾーンは参照できない。