投稿日: Sep 21, 2022
本日、AWS は、DNS リソースレコードセットに対するアクセス許可を導入しました。これにより、Route 53 のパブリックまたはプライベートなホストゾーン内にある個々の DNS レコード、または DNS レコードのグループに対して、AWS Identity and Access Management (IAM) の作成、編集、削除ポリシーを定義できるようになります。
これまで、Route 53 を使用しているお客様は、ホストゾーンレベルでのみアクセス許可を指定することができました。これにより、許可されたユーザーにホストゾーン内のすべてのリソースレコードセットへのアクセスを認めることはできましたが、特定のユーザーに対し、そのユーザーが担当するリソースレコードセットのみを管理するように制限をかけることはできませんでした。本日のリリースにより、IAM ポリシーをきめ細やかに指定して、ホストゾーン内の個々のリソースレコードセットを作成、編集、削除できる人物を設定できるようになります。このようなきめ細やかアクセス許可により、複数の DNS 管理者に、リソースレコードセットレベルでの直接的な所有権が付与されます。これにより、各リソースレコードセットの変更に関して、他の複数のチームに代わって、中心的なチームにその管理を依存しなくてもよくなるため、時間を節約し、運用上のリスクを軽減できる可能性があります。幅広いユースケースに対応するために、個々のリソースレコードセット、特定のレコードタイプ (A、MX、CNAME など) を持つすべてのリソースレコードセット、および指定されたドメイン名プレフィックス文字列に一致するリソースレコードセットに対してアクセス許可を指定できます。
この機能は、すべての AWS 商用リージョンで一般公開されています。この機能の使用方法については、Route 53 のドキュメント、リソースレコードセットのアクセス許可を参照してください。