IAMポリシーの例メモ
レコード変更のAPI「ChangeResourceRecordSets」と一覧表のAPI「ListResourceRecordSets」はリソースを定義できるので任意のHostedzoneを指定してDenyにする。任意のHostedzone以外の許可は、リソースを「*」にしてAllowにする。
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/r53-api-permissions-ref.html
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"route53:ChangeResourceRecordSets",
"route53:ListResourceRecordSets"
],
"Resource": "arn:aws:route53:::hostedzone/ XXXXXXXXX"
}
]
}
お約束
投稿内容は私個人の意見であり、所属企業・部門見解を代表するものではありません。