にサインアップする AWS アカウント管理アクセスを持つユーザーを作成するポリシーとロールの作成ネットワークに関する考慮事項

Route 53 Global Resolver のアカウントアクセスの設定

Route 53 Global Resolver の使用を開始する前に、Route 53 Global Resolver リソースにアクセスするための AWS アカウントと適切なアクセス許可が必要です。これには、必要なアクセス許可を持つ IAM ユーザーとロールの作成が含まれます。

このセクションでは、Route 53 Global Resolver にアクセスするようにユーザーとロールを設定するために必要な手順について説明します。

がない場合は AWS アカウント、次の手順を実行して作成します。

にサインアップするには AWS アカウント

https://portal.aws.amazon.com/billing/signup を開きます。
オンラインの手順に従います。

サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。

にサインアップすると AWS アカウント、 AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービスとリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、ルートユーザーアクセスが必要なタスクの実行にはルートユーザーのみを使用するようにしてください。

AWS サインアッププロセスが完了すると、から確認メールが送信されます。https://aws.amazon.com/ の [マイアカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理アクセスを持つユーザーを作成する

にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、を保護し AWS IAM アイデンティティセンター、を有効にして管理ユーザーを作成します。

を保護する AWS アカウントのルートユーザー

ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS マネジメントコンソールとしてにサインインします。次のページでパスワードを入力します。

ルートユーザーを使用してサインインする方法については、「AWS サインインユーザーガイド」の「ルートユーザーとしてサインインする」を参照してください。
ルートユーザーの多要素認証 (MFA) を有効にします。

手順については、IAM ユーザーガイドの AWS アカウント「ルートユーザー (コンソール) の仮想 MFA デバイスを有効にする」を参照してください。

管理アクセスを持つユーザーを作成する

IAM アイデンティティセンターを有効にします。

手順については、「AWS IAM アイデンティティセンターユーザーガイド」の「AWS IAM アイデンティティセンターの有効化」を参照してください。
IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

を ID ソース IAM アイデンティティセンターディレクトリとして使用する方法のチュートリアルについては、AWS IAM アイデンティティセンター「ユーザーガイド」の「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン「ユーザーガイド」の AWS 「アクセスポータルにサインインする」を参照してください。

追加のユーザーにアクセス権を割り当てる

IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

手順については、「AWS IAM アイデンティティセンターユーザーガイド」の「アクセス許可セットを作成する」を参照してください。
グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

手順については、「AWS IAM アイデンティティセンターユーザーガイド」の「グループの追加」を参照してください。

ポリシーとロールの作成

AWS Identity and Access Management (IAM) アクセス許可を設定して、チームが Route 53 Global Resolver リソースをデプロイおよび管理できるようにします。フルアクセスには管理アクセス許可を使用し、設定のモニタリングと表示には読み取り専用アクセス許可を使用できます。

すべての Route 53 Global Resolver API オペレーションには、適切な IAM アクセス許可が必要です。必要なアクセス許可がない場合、API コールは AccessDeniedException (401) または UnauthorizedException (401) エラーを返します。

管理者のアクセス許可

Route 53 Global Resolver を初めて設定する場合、またはサービスのすべての側面を管理する場合は、管理者権限が必要です。以下の AWS 管理ポリシーを使用できます。

AmazonRoute53GlobalResolverFullAccess - グローバルリゾルバー、DNS ビュー、ファイアウォールルール、ドメインリストの作成、更新、削除など、Route 53 Global Resolver リソースへのフルアクセスを提供します。
AmazonRoute53FullAccess - プライベートホストゾーン転送を使用する場合は必須
CloudWatchLogsFullAccess - Amazon CloudWatch にログを送信する場合は必須です
AmazonS3FullAccess - Amazon S3 からファイアウォールドメインリストをインポートするか、Amazon S3 にログを送信する場合は必須です

読み取り専用のアクセス許可

Route 53 Global Resolver の設定とログのみを表示する必要がある場合は、次の AWS 管理ポリシーを使用できます。

AmazonRoute53GlobalResolverReadOnlyAccess - グローバルリゾルバー、DNS ビュー、ファイアウォールルール、ドメインリスト、アクセスソースの表示など、Route 53 Global Resolver リソースへの読み取り専用アクセスを提供します。
AmazonRoute53ReadOnlyAccess - プライベートホストゾーンの関連付けを表示するために必要です
CloudWatchReadOnlyAccess - Amazon CloudWatch でログを表示するために必要です
AmazonS3ReadOnlyAccess - Amazon S3 に保存されているファイアウォールドメインリストファイルを表示するために必要です

ネットワークに関する考慮事項

Route 53 Global Resolver を実装する前に、次のネットワーク要件を考慮してください。

クライアント IP 範囲

これは、アクセスソースベースの認証を使用する場合にのみ必要です。Route 53 Global Resolver を使用するすべてのクライアントの IP アドレス範囲 (CIDR ブロック) を特定します。アクセスソースのルールを設定するには、これらが必要です。

DNS プロトコル

クライアントが使用する DNS プロトコルを決定します。

Do53 - ポート 53 経由の標準 DNS (UDP/TCP)
DoH - 暗号化されたクエリの DNS-over-HTTPS
DoT - 暗号化されたクエリの DNS-over-TLS

ファイアウォールとセキュリティグループ

ネットワークファイアウォールとセキュリティグループが、適切なポート (Do53 の場合は 53、DoH の場合は 443、DoT の場合は 853) で Route 53 Global Resolver のエニーキャスト IP アドレスへのアウトバウンドトラフィックを許可していることを確認します。 Do53 DoH DoT

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

グローバルリゾルバーへのアクセス

チュートリアル: 最初の Route 53 Global Resolver を作成する