翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Amazon Route 53 の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AmazonRoute53FullAccess
`AmazonRoute53FullAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、ドメイン登録やヘルスチェックなど、Route 53 リソースへのフルアクセスを許可しますが、VPC Resolver は除きます。
**アクセス許可の詳細**
このポリシーには以下のアクセス許可が含まれています。
+ `route53:*` - 以下を*除く*すべての Route 53 アクションを実行できます。
+ [**エイリアス先**] の値が CloudFront ディストリビューション、Elastic Load Balancing ロードバランサー、Elastic Beanstalk 環境、または Amazon S3 バケットであるエイリアスレコードを作成および更新する。(これらの権限があると、[**Alias Target**] (エイリアス先) の値が同じホストゾーン内の別のレコードであるエイリアスレコードを作成できます)
+ プライベートホストゾーンを操作する。
+ ドメインを操作する。
+ CloudWatch アラームを作成、削除、および表示する。
+ Route 53 コンソールで CloudWatch メトリクスをレンダリングします。
+ `route53domains:*` - ドメインの操作を行うことができます。
+ `cloudfront:ListDistributions` - **[Alias Target (エイリアス先)]** の値が CloudFront ディストリビューションであるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、このアクセス許可は必要ありません。Route 53 は、ディストリビューションのリストを取得してコンソールに表示する場合のみ、これを使用します。
+ `cloudfront:GetDistributionTenantByDomain` – CloudFront マルチテナントディストリビューションを取得して、**エイリアスターゲット**の値が CloudFront ディストリビューションテナントであるエイリアスレコードを作成および更新するために使用されます。
+ `cloudfront:GetConnectionGroup` – CloudFront マルチテナントディストリビューションを取得して、**エイリアスターゲット**の値が CloudFront ディストリビューションテナントであるエイリアスレコードを作成および更新するために使用されます。
+ `cloudwatch:DescribeAlarms` – `sns:ListTopics` および `sns:ListSubscriptionsByTopic` と併用して、CloudWatch アラームを作成、削除、表示できます。
+ `cloudwatch:GetMetricStatistics` - CloudWatch メトリクスヘルスチェックを作成することができます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、統計を取得してコンソールに表示する場合のみ、これを使用します。
+ `cloudwatch:GetMetricData` – CloudWatch ヘルスチェックメトリクスのステータスを表示できます。
+ `ec2:DescribeVpcs` — VPC のリストを表示できます。
+ `ec2:DescribeVpcEndpoints` — VPC エンドポイントのリストを表示できます。
+ `ec2:DescribeRegions` — アベイラビリティーゾーンのリストを表示できます。
+ `elasticloadbalancing:DescribeLoadBalancers` - **[Alias Target (エイリアス先)]** の値が Elastic Load Balancing となるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、ロードバランサーのリストを取得してコンソールに表示する場合のみ、これを使用します。
+ `elasticbeanstalk:DescribeEnvironments` - **[Alias Target (エイリアス先)]** の値が Elastic Beanstalk 環境となるエイリアスレコードを作成および更新できます。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、環境のリストを取得してコンソールに表示する場合のみ、これを使用します。
+ `es:ListDomainNames` – アクティブリージョン内で現在のユーザーが所有するすべての Amazon OpenSearch Service ドメイン名を表示できます。
+ `es:DescribeDomains` – 指定された Amazon OpenSearch Service ドメインのドメイン設定を取得できます。
+ `lightsail:GetContainerServices` – Lightsail コンテナサービスを使用して、**エイリアスターゲット**の値が Lightsail ドメインであるエイリアスレコードを作成および更新できます。
+ `s3:ListBucket`、`s3:GetBucketLocation`、`s3:GetBucketWebsite` - [**Alias Target**] (エイリアスのターゲット) の値が Amazon S3 バケットとなるエイリアスレコードを作成および更新できます。(Amazon S3 バケットのエイリアスは、バケットがウェブサイトエンドポイントとして設定されている場合のみ作成できます。`s3:GetBucketWebsite` は必要な設定情報を取得します)。
Route 53 コンソールを使用していない場合、これらのアクセス許可は必要ありません。Route 53 は、バケットのリストを取得してコンソールに表示する場合のみ、これを使用します。
+ `sns:ListTopics`、`sns:ListSubscriptionsByTopic`、`cloudwatch:DescribeAlarms` – CloudWatch アラームを作成、削除、表示できます。
+ `tag:GetResources` – リソース内のタグを表示できます。例えば、ヘルスチェックの名前などです。
+ `apigateway:GET` - **[Alias Target (エイリアス先)]** の値が Amazon API Gateway のAPI であるエイリアスレコードを作成および更新できます。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53ReadOnlyAccess
`AmazonRoute53ReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、ドメイン登録やヘルスチェックなど、Route 53 リソースへの読み取り専用アクセスを許可しますが、VPC Resolver は除きます。
**アクセス許可の詳細**
このポリシーには以下のアクセス許可が含まれています。
+ `route53:Get*` — Route 53 リソースを取得します。
+ `route53:List*` - Route 53 リソースを一覧表示します。
+ `route53:TestDNSAnswer` — DNS リクエストに応答して Route 53 が返す値を取得します。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53DomainsFullAccess
`AmazonRoute53DomainsFullAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Route 53 ドメイン登録リソースへのフルアクセスを付与します。
**アクセス許可の詳細**
このポリシーには以下のアクセス許可が含まれています。
+ `route53:CreateHostedZone` — Route 53 ホストゾーンを作成できます。
+ `route53domains:*` — ドメイン名を登録し、関連する操作を実行できます。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53DomainsReadOnlyAccess
`AmazonRoute53DomainsReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Route 53 ドメイン登録リソースへの読み取り専用アクセスを付与します。
**アクセス許可の詳細**
このポリシーには以下のアクセス許可が含まれています。
+ `route53domains:Get*` — Route 53 からドメインのリストを取得できます。
+ `route53domains:List*` — Route 53 ドメインのリストを表示できます。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53ResolverFullAccess
`AmazonRoute53ResolverFullAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Route 53 VPC Resolver リソースへのフルアクセスを許可します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `route53resolver:*` – Route 53 コンソールで VPC Resolver リソースを作成および管理できます。
+ `ec2:DescribeSubnets` — Amazon VPC サブネットを一覧表示できVます。
+ `ec2:CreateNetworkInterface`、`ec2:DeleteNetworkInterface`、`ec2:ModifyNetworkInterfaceAttribute` — ネットワークインターフェイスを作成、変更、削除できます。
+ `ec2:DescribeNetworkInterfaces` — ネットワークインターフェイスのリストを表示します。
+ `ec2:DescribeSecurityGroups` — すべてのセキュリティグループのリストを表示できます。
+ `ec2:DescribeVpcs` — VPC のリストを表示できます。
+ `ec2:DescribeAvailabilityZones` — 使用可能なゾーンを一覧表示します。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53ResolverReadOnlyAccess
`AmazonRoute53ResolverReadOnlyAccess` ポリシーは IAM アイデンティティにアタッチできます。
このポリシーは、Route 53 VPC Resolver リソースへの読み取り専用アクセスを許可します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `route53resolver:Get*` – VPC Resolver リソースを取得します。
+ `route53resolver:List*` – VPC Resolver リソースのリストを表示できます。
+ `ec2:DescribeNetworkInterfaces` — ネットワークインターフェイスのリストを表示します。
+ `ec2:DescribeSecurityGroups` — すべてのセキュリティグループのリストを表示できます。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: Route53ResolverServiceRolePolicy
IAM エンティティに `Route53ResolverServiceRolePolicy` をアタッチすることはできません。このポリシーは、Route 53 VPC Resolver が VPC Resolver によって使用または管理されるサービスおよびリソースにアクセス AWS できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[のサービスにリンクされたロールの使用 Amazon Route 53 Resolver](using-service-linked-roles.md)」を参照してください。
## AWS マネージドポリシー: AmazonRoute53ProfilesFullAccess
`AmazonRoute53ProfilesReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、Amazon Route 53 プロファイルリソースへのフルアクセス権を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `route53profiles` — Route 53 コンソールでプロファイルリソースを作成および管理できます。
+ `ec2` – プリンシパルが VPC に関する情報を取得するのを許可します。
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS マネージドポリシー: AmazonRoute53ProfilesReadOnlyAccess
`AmazonRoute53ProfilesReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、すべての Amazon Route 53 プロファイルリソースへの読み取り専用アクセス権を付与します。
**アクセス許可の詳細**
アクセス許可の詳細については、「[Amazon Route 53 API のアクセス許可: アクション、リソース、条件のリファレンス](r53-api-permissions-ref.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 管理ポリシーへの Route 53 の更新
このサービスがこれらの変更の追跡を開始してからの Route 53 の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、Route 53 の [[ドキュメントの履歴] ](History.md)ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 更新されたポリシー | `cloudwatch:GetMetricData`、`tag:GetResources`、`es:ListDomainNames`、`es:DescribeDomains`、`cloudfront:GetDistributionTenantByDomain`、`cloudfront:GetConnectionGroup`、`lightsail:GetContainerServices` のアクセス許可を追加します。これらのアクセス許可により、最大 500 個の CloudWatch ヘルスチェックメトリクス、最大 100 個のヘルスチェック名の取得、指定された Amazon OpenSearch Service ドメインのドメイン設定の取得、アクティブなリージョンの現在のユーザーが所有するすべての Amazon OpenSearch Service ドメイン名の一覧表示、CloudFront マルチテナントディストリビューションの取得、Lightsail コンテナサービスの取得を行えます。 | 2025 年 6 月 1 日 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) – 更新されたポリシー | `GetProfilePolicy` と `PutProfilePolicy` のアクセス許可を追加します。これらはアクセス許可のみの IAM アクションです。IAM プリンシパルにこれらのアクセス許可が付与されていない場合、 AWS RAM サービスを使用してプロファイルを共有しようとするとエラーが発生します。 | 2024 年 8 月 27 日 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) – 更新されたポリシー | `GetProfilePolicy` にアクセス許可を追加します。これはアクセス許可のみの IAM アクションです。IAM プリンシパルにこのアクセス許可が付与されていない場合、 AWS RAM サービスを使用してプロファイルのポリシーにアクセスしようとするとエラーが発生します。 | 2024 年 8 月 27 日 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) – 更新されたポリシー | ポリシーを一意に識別するためのステートメント ID (Sid) を追加しました。 | 2024 年 8 月 5 日 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) – 更新されたポリシー | ポリシーを一意に識別するためのステートメント ID (Sid) を追加しました。 | 2024 年 8 月 5 日 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) – 新しいポリシー | Amazon Route 53 は、Amazon Route 53 プロファイルリソースへのフルアクセスを許可する新しいポリシーを追加しました。 | 2024 年 4 月 22 日 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) – 新しいポリシー | Amazon Route 53 は、Amazon Route 53 プロファイルリソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。 | 2024 年 4 月 22 日 |
| [Route53ResolverServiceRolePolicy](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) – 新しいポリシー | Amazon Route 53 は、VPC Resolver が Resolver によって使用または管理される AWS サービスとリソースにアクセスできるようにするサービスにリンクされたロールにアタッチされた新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) – 新しいポリシー | Amazon Route 53 は、VPC Resolver リソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) – 新しいポリシー | Amazon Route 53 は、VPC Resolver リソースへのフルアクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) – 新しいポリシー | Amazon Route 53 は、Route 53 ドメインリソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) – 新しいポリシー | Amazon Route 53 は、Route 53 ドメインリソースへのフルアクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) – 新しいポリシー | Amazon Route 53 は、Route 53 リソースへの読み取り専用アクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 新しいポリシー | Amazon Route 53 は、Route 53 リソースへのフルアクセスを許可する新しいポリシーを追加しました。 | 2021 年 7 月 14 日 |
| Route 53 で、変更追跡のサポート開始 | Route 53 は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 7 月 14 日 |