ablog

不器用で落着きのない技術者のメモ

Route53 で特定のホストゾーンとトラフィックポリシーのみ編集できるIAMポリシー

IAMユーザー/ロールに対して、特定のホストゾーンと

  • 特定のホストゾーンとトラフィックポリシーのみ編集できるIAMポリシー
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowPublicHostedZonePermissions",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "route53:GetHostedZoneCount",
                "route53:ListHostedZonesByName",
                "route53:ListTrafficPolicies",
                "route53:ListTrafficPolicyVersions",
                "route53:GetTrafficPolicy",
                "route53:ListTrafficPolicyInstancesByPolicy",
                "route53:ListTrafficPolicyInstances"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowPublic",
            "Effect": "Allow",
            "Action": [
                "route53:CreateTrafficPolicy",
                "route53:UpdateTrafficPolicy",
                "route53:CreateTrafficPolicyInstance",
                "route53:UpdateTrafficPolicyInstance",
                "route53:DeleteTrafficPolicyInstance"
            ],
            "Resource": [
                "arn:aws:route53:::trafficpolicy/ec******-****-****-****-**********f3", ★編集できるトラフィックポリシーを限定する
                "arn:aws:route53:::trafficpolicyinstance/*"
            ]
        },
        {
            "Sid": "AllowPublicHostedZonePermissions2",
            "Effect": "Allow",
            "Action": [
                "route53:CreateTrafficPolicyInstance",
                "route53:UpdateTrafficPolicyInstance",
                "route53:UpdateHostedZoneComment",
                "route53:GetHostedZone",
                "route53:ChangeResourceRecordSets",
                "route53:ListResourceRecordSets"
            ],
            "Resource": "arn:aws:route53:::hostedzone/Z2**********QF" ★編集できるホストゾーンを限定する
        }
    ]
}
$ aws route53 list-traffic-policies
{
    "IsTruncated": false,
    "TrafficPolicySummaries": [
        {
            "TrafficPolicyCount": 1,
            "LatestVersion": 1,
            "Type": "A",
            "Id": "ec******-****-****-****-**********f3",
            "Name": "TraficPolicyA"
        },
        {
            "TrafficPolicyCount": 1,
            "LatestVersion": 1,
            "Type": "A",
            "Id": "e1******-****-****-****-**********1a",
            "Name": "traficpolicy1"
        }
    ],
    "MaxItems": "100"
}
  • 許可しているホストゾーンにはポリシーレコードを作成できるが、

  • 許可していないホストゾーンにはポリシーレコードを作成できない。


許可していないトラフィックポリシーの編集もできない。