共有 Route 53 プロファイルの使用 - Amazon Route 53
Route 53 プロファイルを共有するためのアクセス許可の付与Route 53 プロファイルを共有するための前提条件Route 53 プロファイルの共有共有 Route 53 プロファイルの共有解除共有 Route 53 プロファイルの特定共有 Route 53 プロファイルの責任とアクセス許可請求と使用量測定インスタンスクォータ

共有 Route 53 プロファイルの使用

プロファイルは、次の方法で他のアカウントと共有できます。

  • 読み取り専用アクセス許可を付与します。つまり、他のアカウントはプロファイルを VPC に関連付けることができます。この場合、すべての DNS リソースと設定は、関連付けられた VPC で有効になります。

  • 管理者アクセス許可の付与。この場合、共有プロファイルを持つアカウントはプロファイルを変更し、VPC に関連付けることができます。所有者は、コンシューマーアカウントで実行できるアクションを指定するために使用できる、カスタマー管理アクセス許可を作成することもできます。詳細については、「AWS RAM ユーザーガイド」の「カスタマー管理アクセス許可」を参照してください。

Amazon Route 53 プロファイルは AWS Resource Access Manager (AWS RAM) と統合してリソース共有を可能にします。AWS RAM は、Route 53 リソースの一部を他の AWS アカウント と、または AWS Organizations を通じて共有できるようにするサービスです。AWS RAM を使用したリソース共有。これにより、自身が所有するリソースを共有できます。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーには以下が含まれます。

  • 特定の AWS アカウント

  • AWS Organizations の組織内の組織単位

  • AWS Organizations の組織全体

AWS RAM については AWS RAMユーザーガイドを参照してください。

このトピックでは、所有しているリソースの共有方法と、共有されているリソースの使用方法を説明します。

Route 53 プロファイルを共有するためのアクセス許可の付与

IAM プリンシパルがプロファイルを共有するには、最小限のアクセス許可のセットが必要です。AmazonRoute53ProfilesFullAccess マネージド IAM ポリシーを使用して、IAM プリンシパルが共有プロファイルを共有して使用するために必要なアクセス許可を持っていることを確認することをお勧めします。

カスタム IAM ポリシーを使用する場合は、route53profiles:GetProfilePolicy および route53profiles:PutProfilePolicy アクションが必要です。これらはアクセス許可のみの IAM アクションです。IAM プリンシパルにこれらのアクセス許可が付与されていない場合、AWS RAM サービスを使用してプロファイルを共有しようとするとエラーが発生します。

Route 53 プロファイルを共有するための前提条件

  • Route 53 プロファイルを共有するには、AWS アカウントで所有する必要があります。つまり、自分のアカウントにそのリソースが割り当てられているか、プロビジョニングされている必要があります。自身が共有を受けている Route 53 プロファイルは共有できません。

  • AWS Organizations の組織や組織単位と Route 53 プロファイルを共有するには、AWS Organizations との共有を有効にする必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizations で共有を有効化する」を参照してください。

Route 53 プロファイルの共有

所有しているプロファイルを別の AWS アカウントと共有する場合、プロファイルの DNS 関連の設定を VPC に適用できるようにします。これにより、管理オーバーヘッドを最小限に抑えながら、数千の VPC に均一な DNS 設定を簡単に適用できます。

Route 53 プロファイルを共有するには、リソース共有に追加する必要があります。リソース共有とは、AWS アカウント間で自身のリソースを共有するための AWS RAM リソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。Route 53 コンソールを使用して Route 53 プロファイルを共有すると、既存のリソース共有に追加されます。Route 53 プロファイルを新しいリソース共有に追加するには、まず AWS RAM コンソールを使用してリソース共有を作成する必要があります。

AWS Organizations の組織に属していて、組織内での共有が有効になっている場合、組織内のコンシューマーには共有 Route 53 プロファイルに対するアクセス許可が自動的に付与されます。それ以外の場合、コンシューマーはリソース共有への参加の招待を受け取り、その招待を受け入れた後で、共有 Route 53 プロファイルへのアクセス許可が付与されます。

Route 53 コンソールで所有し、AWS RAM コンソールで続行する Route 53 プロファイルの共有を開始することができます。

Route 53 コンソールを使用して、自身が所有する Route 53 プロファイルを共有するには

  1. AWS マネジメントコンソール にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで [プロファイル] を選択します。

  3. 共有するプロファイルを選択し、[プロファイルの詳細] ページで [プロファイルの共有] を選択します。

  4. AWS RAM コンソールに移動し、「AWS RAM ユーザーガイド」の「リソース共有の作成」のステップに従います。

  5. プロファイルが共有されている場合、[プロファイル] テーブルにはテキストの [自分と共有] が含まれます。

    プロファイルを共有すると、[プロファイル] テーブルに [共有] として一覧表示されます。

AWS RAM コンソールを使用して、自身が所有する Route 53 プロファイルを共有するには

AWS RAM ユーザーガイド 」の「リソース共有の作成」を参照してください。

AWS CLI を使用して、自身が所有する Route 53 プロファイルを共有するには

create-resource-share コマンドを使用します。

共有 Route 53 プロファイルの共有解除

プロファイルを共有解除すると、そのプロファイルの設定が関連付けられている VPC は失われ、デフォルトで VPC 固有の設定になります。

自身が所有する共有 Route 53 プロファイルを共有解除するには、それをリソース共有から削除する必要があります。この操作は、Route 53 コンソール、AWS RAM コンソール、または AWS CLI を使用して行うことができます。

Route 53 コンソールを使用して、自身が所有する共有 Route 53 プロファイルを共有解除するには

  1. AWS マネジメントコンソール にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで [プロファイル] を選択します。

  3. 共有解除するプロファイルのリンク名を選択し、[<プロファイル名>] ページで [共有の管理] を選択します。

  4. AWS RAM コンソールに移動し、「AWS RAM ユーザーガイド」の「リソース共有の更新」の手順に従います。

AWS RAM コンソールを使用して、自身が所有する共有 Route 53 プロファイルを共有解除するには

AWS RAMユーザーガイドリソース共有の更新を参照してください。

AWS CLI を使用して、自身が所有する共有 Route 53 プロファイルを共有解除するには

disassociate-resource-share コマンドを使用します。

共有 Route 53 プロファイルの特定

所有者とコンシューマーは、Route 53 コンソールまたは AWS CLI を使用して、共有 Route 53 プロファイルを特定できます。

Route 53 コンソールを使用して共有、Route 53 プロファイルを識別するには

  1. AWS マネジメントコンソール にサインインし、Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで [プロファイル] を選択します。

  3. プロファイルが共有されている場合、[プロファイル] テーブルにはテキストの [自分と共有] が含まれます。

    プロファイルを共有すると、[プロファイル] テーブルに [共有] として一覧表示されます。

AWS CLI を使用して共有 Route 53 プロファイルを特定するには

get-profile コマンドまたは list-profile コマンドを使用します。コマンドは、自身が所有する Route 53 プロファイルと Route 53 プロファイルの共有ステータスに関する情報を返します。

共有 Route 53 プロファイルの責任とアクセス許可

所有者のアクセス許可

プロファイル所有者は、コンシューマーアカウントによって行われたリソースの関連付けを含むプロファイルリソースの関連付けを表示、管理、削除できます。所有者は、所有する VPC 関連付けを表示および削除することができます。さらに、プロファイル所有者のみが自身が所有するプロファイルを削除できます。これにより、プロファイルのすべてのリソース関連付けも自動的に削除されます。

注記

プロファイルが共有されているアカウントのリソースを関連付けるには、デフォルトのアクセス許可に加えて route53profiles:AssociateResourceToProfile アクションを含むカスタム管理アクセス許可を作成する必要があります。これは、デフォルトのポリシー AWSRAMPermissionRoute53ProfileAllowAssociation には含まれていないためです。

コンシューマーのアクセス許可

共有プロファイルのコンシューマーに対するデフォルトのアクセス許可は、読み取り専用です。読み取り専用アクセス許可では、関連付けられたリソースを表示して VPC に関連付けることはできますが、リソースの関連付けを管理することはできません。

所有者は、AWS RAM コンソールでカスタマー管理アクセス許可を作成することもできます。詳細については、「AWS RAM ユーザーガイド」の「Creating and using customer managed permission」を参照してください。

請求と使用量測定

Route 53 プロファイルは、VPC 関連付けの数に基づいて請求されます。プロファイル所有者は、お客様ごとの VPC 関連付けの請求を担当します。

インスタンスクォータ

プロファイル所有者とコンシューマーは同じクォータを共有します。リージョンのアカウントあたりの Route 53 プロファイルの数は除きます。詳細については、Route 53 プロファイルのクォータ を参照してください。