Amazon Route 53 ヘルスチェックをいくつか作成しました。他のユーザーがこれらのヘルスチェックを変更できないようにしたり、ヘルスチェックの変更許可を付与するユーザーを制御したいと考えています。
解決方法
Route 53 ヘルスチェックが変更されないようにするには、AWS Identity and Access Management (IAM) ポリシーを使用します。詳細については、「Using identity-based policies (IAM policies) for Amazon Route 53」を参照してください。
オプション 1: 他のユーザーによるヘルスチェックの削除や更新を明示的に拒否
ヘルスチェックで他のユーザーが Delete および Update コマンドを実行できないようにするには、次の IAM ポリシーを使用してください。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"route53:DeleteHealthCheck",
"route53:UpdateHealthCheck"
],
"Resource": "*"
}
]
}
オプション 2: 他のユーザーがヘルスチェックを削除または更新する場合は多要素認証 (MFA) を実行するよう要求
ヘルスチェックの更新許可を付与するユーザーを制御するには、MFA を使用して、MFA によって認証されたユーザーのみがヘルスチェックを変更できるようにします。ユーザーが MFA によって認証されていない場合、ユーザーが試みようとした更新や削除の呼び出しは失敗します。
次のステートメントは、MFA によって認証されていないユーザーがリストされているアクションを実行できないように指定しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
詳細については、「MFA トークンを使用して、AWS CLI を通じて AWS リソースへのアクセスを認証するにはどうすればよいですか?」を参照してください。