awsのroute53の任意のhostedzoneの操作を許可したい

技術ネタ aws

f:id:miya15:20180803160905p:plainawsのroute53で特定のhostedzoneだけをユーザーに触らせたい、という制御をIAMポリシーでやってみたいと思います。
まずはサービスから「IAM」を選びましょう。
左側のメニューから「ユーザー」でも「グループ」でも構いませんが、対象を選んで「インラインポリシーの追加」をクリックします。

JSONで下記のように権限を設定すればOKです。
途中にある「(許可したいHosted Zone ID)」の部分に文字通りのIDを入れてください(route53のHosted zonesの一覧画面の右端のカラムにあります)。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1",
            "Effect": "Allow",
            "Action": [
                "route53:ListResourceRecordSets",
                "route53:GetHostedZone",
                "route53:ChangeResourceRecordSets"
            ],
            "Resource": [
                "arn:aws:route53:::hostedzone/(許可したいHosted Zone ID)"
            ]
        },
        {
            "Sid": "Stmt2",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "route53:GetHostedZoneCount"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}