ＡＷＳ Ｒｏｕｔｅ５３を使用したＤＮＳリソースレコードのＡＰＩによる許可設定

• ＡＷＳ Ｒｏｕｔｅ５３はＡＷＳ（Amazone Web Service）のＤＮＳサービスである。

• Ｒｏｕｔｅ５３はマネージドサービスで、管理インターフェース・ＡＰＩ機能込みで、おおよそ１ゾーン百数十円／月で利用できる。

• クエリ数による従量課金？ほぼ無視して良いです。
• ここではＲｏｕｔｅ５３そのものの使い方は取り扱わない。
• よってＡＰＩを叩くにあたって設定すべき権限について解説する。
• 想定クライアントは「ＡＣＭＥクライアント」として例示する。

ＡＷＳ側の設定

ＩＡＭポリシーの作成

route53-acme-dns-01

• ＬＥ認証局（Let's Encrypt）に対してＳＳＬ証明書要求プロトコル（ＡＣＭＥ）のＤＮＳ－０１メソッドを使用するためのＲｏｕｔｅ５３側の設定（共通設定）である。
• 各ＡＣＭＥクライアントは本設定に基づいて照会が許可される（各ゾーン中のレコードの照会および変更は別ポリシーにて定義）。
• 下記設定の内、「アクセス元ＩＰアドレス帯」を書き換えて使用する。
• 指定したＩＰアドレス帯以外からのＡＰＩ呼び出しは無効になる。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:IpAddress": {
                    "aws:SourceIp": [
                        "アクセス元ＩＰアドレス帯"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "route53:GetChange",
            "Resource": "arn:aws:route53:::change/*",
            "Condition": {
                "ForAnyValue:IpAddress": {
                    "aws:SourceIp": [
                        "アクセス元ＩＰアドレス帯"
                    ]
                }
            }
        }
    ]
}

route53-hosted-zone-ゾーン名

• ＬＥ認証局（Let's Encrypt）に対してＳＳＬ証明書要求プロトコル（ＡＣＭＥ）のＤＮＳ－０１メソッドを使用するためのＲｏｕｔｅ５３側の設定（共通設定）である。
• 各ＡＣＭＥクライアントは本設定に基づいて指定された「ゾーン名」に所属するレコードの更新が許可される。
• この「ポリシー名」は例えば ninth-nine.com の場合「route53-hosted-zone-ninth-nine.com」となる。
• 下記設定の内、「アクセス元ＩＰアドレス帯」を書き換えて使用する。
• 指定したＩＰアドレス帯以外からのＡＰＩ呼び出しは無効になる。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:ListResourceRecordSets",
                "route53:ChangeResourceRecordSets"
            ],
            "Resource": "arn:aws:route53:::hostedzone/ホステッドゾーンＩＤ",
            "Condition": {
                "ForAnyValue:IpAddress": {
                    "aws:SourceIp": [
                        "アクセス元ＩＰアドレス帯"
                    ]
                }
            }
        }
    ]
}

ＩＡＭグループの作成

route53-acme-dns-01

用途

• Let's Encrypt のＳＳＬ証明書自動更新のためのグループ。基本的なアクセス許可を提供する。

適用済ポリシー

• route53-acme-dns-01

ＩＡＭユーザーの作成（例）

クライアント側の設定

インストール

• ports/devel/awscli
• ports/dns/cli53

クレデンシャルファイルの作成

• 発行したアクセスキーおよびシークレットアクセスキーをＡＰＩクライアント側で使用するために「クレデンシャルファイル」を作成する。
• ＡＰＩを実行するクライアント（Ｗｅｂサーバーやメールサーバーなど）の所定のユーザー（dehydrated の利用においては root）のホームディレクトリをベースに以下の作業を実施する。

mkdir -p -m 0700 ~root/.aws

• クレデンシャルファイル（~root/.aws/credentials）を以下のように作成する。この時、プロファイル名はＩＡＭユーザー名と同じものとする。

[ユーザー名]
aws_access_key_id       = XXXXXXXXXXXXXXXXXXXX
aws_secret_access_key   = YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY

• この時、作成されたクレデンシャルファイルのパーミッションを変更すること。

chmod 0600 ~root/.aws/credentials

• ＡＰＩ設定に問題無いかチェックする。

aws --profile ユーザー名 configure list
   または
env AWS_PROFILE=ユーザー名 aws configure list

• 当該ＡＰＩか稼働しているか動作確認すること。

cli53 list --profile ユーザー名

よくある質問とその答え

Ｑ．またまた～従量制なんだから高くなるんでないの？

Ａ．ホスティングするゾーン（ドメイン）はＹａｈｏｏ、Ｇｏｏｇｌｅクラスです！と言える者だけだが石を投げなさい。

料金表を見ながらの話になりますが、 標準クエリで１００万クエリ／月を秒間（３０日とする）で換算すると、０．３９クエリ／秒になる。 まぁ個人サイトレベルなら余裕過ぎるレベル。

そこそこ目立つサイトで１０クエリ／秒くらいだとすると（個人的見解です）、２５９万２千クエリ／月、それでも２ＵＳＤも行かないくらい。

つまりワンコイン（５００円）もあれば十分行ける数字ではある。

Ｑ．Ｒｏｕｔｅ５３って言ってるけどＩＡＭしか書いてないぢゃないっすか

Ａ．大丈夫だ。問題無い。

Ｒｏｕｔｅ５３の使い方的エッセンシャルな部分については普通にＷｅｂコンソールを使ってもらえば問題無いです。 そして外部からアクセスするためのＡＰＩについてはＷｅｂコンソール外に用意されており、 必要なパラメータとアクセスについては（一部設定や引数などがあるものの）、ｃｌｉ５３により実施する。 あとはアクセス制御の設定で、これについてはＩＡＭで制御することになる。