Route 53サブドメインホストゾーンを作成したら、元のホストゾーンにNSレコードを作成する自動化

2025/07/13

ハンズオン環境でRoute 53のホストゾーンを触ってほしい際に、サブドメインを設定する場合があります。
複数アカウントでセットアップを自動化したかったので、構築しました。

動作

元のドメインがexample.comだとします。
サブドメインの123はアカウントIDを想定しています。

アカウントBでRoute 53に123.example.comホストゾーンが作成される
EventBridgeがイベントを検知してLambda関数を実行
Lambda関数がアカウントAのDynamoDBテーブルにレコードを追加
DynamoDBストリームがアカウントAのLambda関数をトリガー
アカウントAのLambda関数がexample.comのホストゾーンにNSレコード123.example.comを作成

これで、アカウントBのRoute 53で、www.123.example.comなどを作成して、レコードセット設定のハンズオンができます。

GitHub

CloudFormationテンプレートはGitHubにあります。
Lambdaのコードもテンプレートにインラインにしています。

https://github.com/yamamanx/route53-creatensrecord

EventBridgeのルール

CloudFormationで自動作成しているので、ホストゾーンを限定しています。

{
  "detail-type": ["AWS API Call via CloudTrail"],
  "source": ["aws.route53"],
  "detail": {
    "responseElements": {
      "hostedZone": {
        "name": ["123.example.com."]
      }
    },
    "eventSource": ["route53.amazonaws.com"],
    "eventName": ["CreateHostedZone", "DeleteHostedZone"]
  }
}

{

"detail-type": ["AWS API Call via CloudTrail"],

"source": ["aws.route53"],

"detail": {

"responseElements": {

"hostedZone": {

"name": ["123.example.com."]

}

"eventSource": ["route53.amazonaws.com"],

"eventName": ["CreateHostedZone", "DeleteHostedZone"]

}

ターゲットはLambda関数です。
Lambda関数では、クロスアカウントのDynamoDBテーブルにPutItemするので、boto3で指定しているテーブル名はARNにしています。
CreateHostedZoneの際はoperation=”create”、DeleteHostedZoneの際はoperation=”delete”でPutItemのみ許可されるようにしています。
Lambda関数はCloudFormationテンプレートにあります。

DynamoDBのリソースベースポリシー

昨年DynamoDBにリソースベースのポリシーが追加されましたので、それを利用しています。
ハンズオン用のアカウントBは元のドメインを管理しているアカウントAとは同じOrganizations組織にあります。

そこで次のようなポリシーにしました。
PutItemのみを組織内のアカウントで許可されたプリンシパルから受け付けます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "dynamodb:PutItem",
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:PrincipalOrgID": "o-12345678"
        }
      }
    }
  ]
}