AWS Route53 Global Resolver のアクション、リソース、および条件キー

AWS Route53 Global Resolver (サービスプレフィックス: route53globalresolver) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

このサービスを設定する方法について説明します。
このサービスで使用可能な API オペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

AWS Route53 Global Resolver で定義されるアクション
AWS Route53 Global Resolver で定義されるリソースタイプ
AWS Route53 Global Resolver の条件キー

AWS Route53 Global Resolver で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

アクションテーブルの [アクセスレベル] 列では、アクションの指定方法 (リスト、読み取り、アクセス許可管理、タグ付け) について説明します。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、「ポリシー概要内のアクセスレベル」を参照してください。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

Actions テーブルの [依存アクション] 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー	依存アクション
AllowVendedLogDeliveryForResource [アクセス許可のみ]	グローバルリゾルバーのログを配信するアクセス許可を付与します	権限の管理	global-resolver*	aws:ResourceTag/${TagKey}
AssociateHostedZone	リソースをホストゾーンに関連付けるアクセス許可を付与します	書き込み
BatchCreateFirewallRule	複数のファイアウォールルールを作成するアクセス許可を付与します	書き込み
BatchDeleteFirewallRule	複数のファイアウォールルールを削除するアクセス許可を付与します	書き込み
BatchUpdateFirewallRule	複数のファイアウォールルールを更新する許可を付与	書き込み
CreateAccessSource	アクセスソースを作成するアクセス許可を付与します	書き込み	dns-view*
CreateAccessSource	アクセスソースを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateAccessToken	アクセストークンを作成するアクセス許可を付与します	書き込み	access-token*
CreateAccessToken	アクセストークンを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateDNSView	DNS ビューを作成するアクセス許可を付与します	書き込み	dns-view*
CreateDNSView	DNS ビューを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateFirewallDomainList	ファイアウォールドメインリストを作成するアクセス許可を付与します	書き込み	firewall-domain-list*
CreateFirewallDomainList	ファイアウォールドメインリストを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
CreateFirewallRule	ファイアウォールルールを作成するアクセス許可を付与します	書き込み	dns-view*
CreateFirewallRule	ファイアウォールルールを作成するアクセス許可を付与します	書き込み	firewall-domain-list
CreateGlobalResolver	グローバルリゾルバーを作成するアクセス許可を付与します	書き込み	global-resolver*
CreateGlobalResolver	グローバルリゾルバーを作成するアクセス許可を付与します	書き込み		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAccessSource	アクセスソースを削除するアクセス許可を付与します	書き込み	access-source*
DeleteAccessToken	アクセストークンを削除するアクセス許可を付与します	書き込み	access-token*
DeleteDNSView	DNS ビューを削除するアクセス許可を付与します	書き込み	dns-view*
DeleteFirewallDomainList	ファイアウォールドメインリストを削除するアクセス許可を付与します	書き込み	firewall-domain-list*
DeleteFirewallRule	ファイアウォールルールを削除するアクセス許可を付与します	書き込み
DeleteGlobalResolver	グローバルリゾルバーを削除する許可を付与	書き込み	global-resolver*
DisableDNSView	DNS ビューを無効にするアクセス許可を付与します	書き込み	dns-view*
DisassociateHostedZone	ホストゾーンとリソースの関連付けを解除するアクセス許可を付与します	書き込み
EnableDNSView	DNS ビューを有効にするアクセス許可を付与します	書き込み	dns-view*
GetAccessSource	アクセスソースを取得する許可を付与	読み取り	access-source*
GetAccessToken	アクセストークンを取得するアクセス許可を付与します	読み取り	access-token*
GetDNSView	DNS ビューを取得する許可を付与	読み取り	dns-view*
GetFirewallDomainList	ファイアウォールドメインリストを取得する許可を付与	読み取り	firewall-domain-list*
GetFirewallRule	ファイアウォールルールを取得するアクセス許可を付与します	読み取り
GetGlobalResolver	グローバルリゾルバーを取得する許可を付与	読み取り	global-resolver*
GetHostedZoneAssociation	ホストゾーンの関連付けを取得するアクセス許可を付与します	読み取り
GetManagedFirewallDomainList	マネージドファイアウォールドメインリストを取得する許可を付与	読み取り
ImportFirewallDomains	S3 バケットからファイアウォールドメインをインポートするアクセス許可を付与します	書き込み	firewall-domain-list*		s3:GetObject s3:ListBucket
ListAccessSources	アクセスソースを一覧表示する許可を付与	リスト
ListAccessTokens	アクセストークンを一覧表示するアクセス許可を付与します	リスト
ListDNSViews	DNS ビューを一覧表示する許可を付与	リスト
ListFirewallDomainLists	ファイアウォールドメインリストを一覧表示するアクセス許可を付与します	リスト
ListFirewallDomains	ファイアウォールドメインを一覧表示する許可を付与	読み取り	firewall-domain-list*
ListFirewallRules	ファイアウォールルールを一覧表示する許可を付与	リスト	dns-view*
ListGlobalResolvers	グローバルリゾルバーを一覧表示する許可を付与	リスト
ListHostedZoneAssociations	ホストゾーンの関連付けを一覧表示するアクセス許可を付与します	リスト
ListManagedFirewallDomainLists	マネージドファイアウォールドメインリストを一覧表示する許可を付与	リスト
ListTagsForResource	リソースのタグを一覧表示する許可を付与。	書き込み	access-source
			access-token
			dns-view
			firewall-domain-list
			global-resolver
TagResource	リソースにタグを付けるアクセス許可を付与	タグ付け	access-source
			access-token
			dns-view
			firewall-domain-list
			global-resolver
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	リソースのタグを解除する許可を付与	Tagging	access-source
			access-token
			dns-view
			firewall-domain-list
			global-resolver
				aws:TagKeys
UpdateAccessSource	アクセスソースを更新するアクセス許可を付与します	書き込み	access-source*
UpdateAccessToken	アクセストークンを更新するアクセス許可を付与します	書き込み	access-token*
UpdateDNSView	DNS ビューを更新する許可を付与	書き込み	dns-view*
UpdateFirewallDomains	ファイアウォールドメインを更新する許可を付与	書き込み	firewall-domain-list*
UpdateFirewallRule	ファイアウォールルールを更新するアクセス許可を付与します	書き込み
UpdateGlobalResolver	グローバルリゾルバーを更新する許可を付与	書き込み	global-resolver*
UpdateHostedZoneAssociation	ホストゾーンの関連付けを更新する許可を付与	書き込み

AWS Route53 Global Resolver で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ	ARN	条件キー
access-source	`arn:${Partition}:route53globalresolver::${Account}:access-source/${Id}`	aws:ResourceTag/${TagKey}
access-token	`arn:${Partition}:route53globalresolver::${Account}:access-token/${Id}`	aws:ResourceTag/${TagKey}
dns-view	`arn:${Partition}:route53globalresolver::${Account}:dns-view/${Id}`	aws:ResourceTag/${TagKey}
firewall-domain-list	`arn:${Partition}:route53globalresolver::${Account}:firewall-domain-list/${Id}`	aws:ResourceTag/${TagKey}
global-resolver	`arn:${Partition}:route53globalresolver::${Account}:global-resolver/${Id}`	aws:ResourceTag/${TagKey}

AWS Route53 Global Resolver の条件キー

AWS Route53 Global Resolver では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「AWS グローバル条件コンテキストキー」を参照してください。

条件キー	説明	タイプ
aws:RequestTag/${TagKey}	リクエストで許可されているタグキーと値のペアによってアクセスをフィルタリングします	文字列
aws:ResourceTag/${TagKey}	タグキーとリソースの値のペアによってアクセスをフィルタリングします	文字列
aws:TagKeys	リクエストで許可されているタグキーのリストによってアクセスをフィルタリングします	ArrayOfString

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon Route 53 Resolver

AWS RTB ファブリック