Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management in Amazon Route 53
Um Vorgänge auf Amazon Route 53-Ressourcen ausführen zu können, z. B. die Registrierung einer Domain oder die Aktualisierung eines Datensatzes AWS Identity and Access Management (IAM), müssen Sie authentifizieren, dass Sie ein zugelassener AWS Benutzer sind. Wenn Sie die Route-53-Konsole verwenden, authentifizieren Sie Ihre Identität durch Angabe Ihres AWS -Benutzernamens und des zugehörigen Passworts.
Nachdem Sie Ihre Identität authentifiziert haben, kontrolliert IAM Ihren Zugriff auf, AWS indem es überprüft, ob Sie über die erforderlichen Berechtigungen zur Durchführung von Vorgängen und zum Zugriff auf Ressourcen verfügen. Wenn Sie ein Kontoadministrator sind, können Sie mithilfe von IAM den Zugriff anderer Benutzer auf die mit Ihrem Konto verknüpften Ressourcen steuern.
In diesem Abschnitt wird erläutert, wie Sie [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) und Route 53 verwenden, um Ihre Ressourcen zu schützen.
**Topics**
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Zugriffskontrolle](#access-control)
+ [Übersicht zur Verwaltung der Zugriffsberechtigungen für Amazon-Route-53-Ressourcen](access-control-overview.md)
+ [Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon Route 53](access-control-managing-permissions.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon Route 53 Resolver](using-service-linked-roles.md)
+ [AWS verwaltete Richtlinien für Amazon Route 53](security-iam-awsmanpol-route53.md)
+ [Verwenden von IAM-Richtlinienbedingungen für die differenzierte Zugriffskontrolle](specifying-conditions-route53.md)
+ [Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md)
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Zugriffskontrolle
Um Amazon-Route-53-Ressourcen zu erstellen, zu aktualisieren, zu löschen oder zu aktualisieren, benötigten Sie die Berechtigungen zum Ausführen der Operation sowie die Berechtigung für den Zugriff auf die entsprechenden Ressourcen.
In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für Route 53 beschrieben. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.
**Topics**
# Übersicht zur Verwaltung der Zugriffsberechtigungen für Amazon-Route-53-Ressourcen
Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt.
**Anmerkung**
Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen über Administratoren finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM Benutzerhandbuch*.
Wenn Sie Berechtigungen erteilen, entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen Berechtigungen vergeben werden und welche Aktionen für die Benutzer zulässig sind.
Benutzer benötigen programmgesteuerten Zugriff, wenn sie mit AWS außerhalb von interagieren möchten. AWS-Managementkonsole Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
****
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
| --- | --- | --- |
| IAM | (Empfohlen) Verwenden Sie Konsolenanmeldeinformationen als temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/access-control-overview.html) |
| Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Folgen Sie den Anweisungen unter [Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) im IAM-Benutzerhandbuch. |
| IAM | (Nicht empfohlen)Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [ARNs für Amazon Route 53-Ressourcen](#access-control-resources)
+ [Grundlegendes zum Eigentum an Ressourcen](#access-control-owner)
+ [Verwaltung des Zugriffs auf -Ressourcen](#access-control-manage-access-intro)
+ [Angeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und Prinzipale](#access-control-specify-r53-actions)
+ [Angeben von Bedingungen in einer Richtlinie](#specifying-conditions)
## ARNs für Amazon Route 53-Ressourcen
Amazon Route 53 unterstützt eine Vielzahl von Ressourcentypen für DNS, die Zustandsprüfung und die Domainregistrierung. In einer Richtlinie können Sie den Zugriff auf die folgenden Ressourcen gewähren oder verweigern, indem Sie `*` für den ARN verwenden:
+ Health checks (Zustandsprüfungen)
+ Gehostete Zonen
+ Wiederverwendbare Delegationssätze
+ Status eines Ressourcendatensatz-Änderungsstapels (nur API)
+ Datenverkehrsrichtlinien (Datenfluss)
+ Datenverkehrsrichtlinien-Instances (Datenfluss)
Nicht alle Route-53-Ressourcen unterstützen Berechtigungen. Für die folgenden Ressourcen können Sie keinen Zugriff gewähren oder verweigern:
+ Domains
+ Individuelle Datensätze
+ Tags für Domänen
+ Tags für Zustandsprüfungen
+ Tags für gehostete Zonen
Route 53 stellt API-Aktionen für die Arbeit mit diesen verschiedenen Typen von Ressourcen bereit. Weitere Informationen finden Sie unter [Amazon Route 53 API Reference](https://docs.aws.amazon.com/Route53/latest/APIReference/). Eine Liste der Aktionen mit den anzugebenden ARNs, mit denen ihnen Berechtigungen erteilt oder entzogen werden, finden Sie unter [Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md).
## Grundlegendes zum Eigentum an Ressourcen
Ein AWS Konto besitzt die Ressourcen, die in dem Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer das AWS Konto der Prinzipalentität (d. h. das Stammkonto oder eine IAM-Rolle), das die Anfrage zur Ressourcenerstellung authentifiziert.
Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie die Root-Kontoanmeldeinformationen Ihres AWS Kontos verwenden, um eine gehostete Zone zu erstellen, ist Ihr AWS Konto der Eigentümer der Ressource.
+ Wenn Sie in Ihrem AWS Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen einer gehosteten Zone gewähren, kann der Benutzer eine gehostete Zone erstellen. Eigentümer der gehosteten Zone ist jedoch das AWS -Konto, zu dem der Benutzer gehört.
+ Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen einer gehosteten Zone erstellen, kann jeder, der diese Rolle übernehmen kann, eine gehostete Zone erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die gehostete Zonenressource.
## Verwaltung des Zugriffs auf -Ressourcen
Eine *Berechtigungsrichtlinie* gibt an, wer Zugriff auf welche Objekte hat. In diesem Abschnitt werden die Optionen zum Erstellen von Berechtigungsrichtlinien für Amazon Route 53 erläutert. Allgemeine Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der [AWS IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Richtlinien, die einer IAM-Identität zugeordnet sind, werden als *identitätsbasierte* Richtlinien (IAM-Richtlinien) bezeichnet, während Richtlinien, die einer Ressource zugeordnet sind, als *ressourcenbasierte* Richtlinien bezeichnet werden. Route 53 unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).
**Topics**
+ [Identitätsbasierte Richtlinien (IAM-Richtlinien)](#access-control-manage-access-intro-iam-policies)
+ [Ressourcenbasierte Richtlinien](#access-control-manage-access-intro-resource-policies)
### Identitätsbasierte Richtlinien (IAM-Richtlinien)
Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:
+ **Berechtigungsrichtlinien Benutzern oder Gruppen in Ihrem Konto zuweisen** – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um diesem Benutzer Berechtigungen zum Erstellen von Amazon-Route-53-Ressourcen zu erteilen.
+ Einer **Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einem Benutzer, der mit einem anderen AWS Konto** erstellt wurde, die Erlaubnis zur Durchführung von Route 53-Aktionen erteilen. Dazu ordnen Sie einer IAM-Rolle eine Berechtigungsrichtlinie zu und erlauben dann dem Benutzer in dem anderen Konto, die Rolle einzunehmen. Im folgenden Beispiel wird erklärt, wie dieser Vorgang für zwei AWS -Konten, Konto A und Konto B, funktioniert:
1. Der Administrator von Konto A erstellt eine IAM-Rolle und weist ihr eine Berechtigungsrichtlinie zu, die Berechtigungen zum Erstellen von oder für den Zugriff auf Ressourcen erteilt, die Konto A gehören.
1. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu. Die Vertrauensrichtlinie identifiziert Konto B als Prinzipal, der die Rolle einnehmen darf.
1. Anschließend kann der Administrator von Konto B Berechtigungen für Benutzer oder Gruppen in Konto B zuweisen, sodass diese die Rolle einnehmen können. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen bzw. darauf zugreifen.
Weitere Informationen zum Delegieren von Berechtigungen an Benutzer in einem anderen AWS Konto finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, die Aktion `CreateHostedZone` auszuführen und eine öffentliche gehostete Zone für ein AWS -Konto zu erstellen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
Wenn Sie möchten, dass die Richtlinie auch für private gehostete Zonen gilt, müssen Sie Berechtigungen für die Verwendung der Route-53-Aktion `AssociateVPCWithHostedZone` und der beiden Amazon-EC2-Aktionen `DescribeVpcs` und `DescribeRegion` erteilen, wie im folgenden Beispiel gezeigt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen zum Zuweisen von Richtlinien zu Identitäten für Route 53 finden Sie unter [Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon Route 53](access-control-managing-permissions.md). Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Andere Services, z. B. Amazon S3, unterstützen auch die Zuordnung von Berechtigungsrichtlinien zu Ressourcen. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. Amazon Route 53 unterstützt nicht das Anfügen von Richtlinien an Ressourcen.
## Angeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und Prinzipale
Amazon Route 53 enthält API-Aktionen (siehe [Amazon-Route-53-API-Referenz](https://docs.aws.amazon.com/Route53/latest/APIReference/)), die Sie für jede Route-53-Ressource verwenden können (siehe [ARNs für Amazon Route 53-Ressourcen](#access-control-resources)). Sie können Benutzern oder verbundenen Benutzern Berechtigungen zur Durchführung beliebiger oder aller dieser Aktionen erteilen. Beachten Sie, dass einige API-Aktionen, z. B. die Registrierung einer Domäne, Berechtigungen zur Durchführung mehrerer Aktionen erfordern.
Grundlegende Richtlinienelemente:
+ **Ressource** – Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter [ARNs für Amazon Route 53-Ressourcen](#access-control-resources).
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Beispiel: Abhängig von dem angegebenen `Effect` erlaubt oder verweigert die Berechtigung `route53:CreateHostedZone` Benutzern die Durchführung der Route-53-Aktion `CreateHostedZone`.
+ **Effekt** – Dies ist die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer versucht, die jeweilige Aktion für die angegebene Ressource durchzuführen. Wenn Sie den Zugriff auf eine Aktion nicht ausdrücklich gestatten, wird er implizit verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). Route 53 unterstützt keine ressourcenbasierten Richtlinien.
Weitere Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der [AWS IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Eine Tabelle mit einer von allen Route-53-API-Operationen und den Ressourcen, für welche diese gelten, finden Sie unter [Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md).
## Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in der Sprache der Richtlinie finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für Route 53 gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch AWS zahlreiche Bedingungsschlüssel, die Sie nach Bedarf verwenden können. Eine vollständige Liste der AWS Wide Keys finden Sie unter [Verfügbare Schlüssel für Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
# Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon Route 53
Dieses Thema stellt Beispiele für identitätsbasierte Richtlinien bereit, die zeigen, wie ein Kontoadministrator Berechtigungsrichtlinien an IAM-Identitäten anfügen und damit Berechtigungen für die Durchführung von Operationen für Amazon-Route-53-Ressourcen gewähren kann.
**Wichtig**
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die Grundkonzepte und Optionen zum Verwalten des Zugriffs auf Ihre Route-53-Ressourcen erläutert werden. Weitere Informationen finden Sie unter [Übersicht zur Verwaltung der Zugriffsberechtigungen für Amazon-Route-53-Ressourcen](access-control-overview.md).
**Anmerkung**
Wenn Zugriff gewährt wird, müssen die gehostete Zone und die Amazon VPC zur selben Partition gehören. Eine Partition ist eine Gruppe von. AWS-Regionen Jede AWS-Konto ist auf eine Partition beschränkt.
Im Folgenden werden die unterstützten Partitionen angezeigt:
`aws` - AWS-Regionen
`aws-cn` – Chinesiche Regionen
`aws-us-gov` - AWS GovCloud (US) Region
Weitere Informationen finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) und [Amazon-Route-53-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/r53.html) in der *Allgemeinen Referenz zu AWS *.
**Topics**
+ [Erforderliche Berechtigungen zur Verwendung der Amazon-Route-53-Konsole](#console-required-permissions)
+ [Beispielberechtigungen für einen Domänendatensatzbesitzer](#example-permissions-record-owner)
+ [Route 53 vom Kunden verwaltete Schlüsselberechtigungen für DNSSEC-Signierung erforderlich](#KMS-key-policy-for-DNSSEC)
+ [Beispiele für vom Kunden verwaltete Richtlinien](#access-policy-examples-for-sdk-cli)
Das folgende Beispiel zeigt eine Berechtigungsrichtlinie. Der Abschnitt `Sid` (die Anweisungs-ID) ist optional:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AllowPublicHostedZonePermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:UpdateHostedZoneComment",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:DeleteHostedZone",
"route53:ChangeResourceRecordSets",
"route53:ListResourceRecordSets",
"route53:GetHostedZoneCount",
"route53:ListHostedZonesByName"
],
"Resource": "*"
},
{
"Sid" : "AllowHealthCheckPermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:GetHealthCheck",
"route53:ListHealthChecks",
"route53:DeleteHealthCheck",
"route53:GetCheckerIpRanges",
"route53:GetHealthCheckCount",
"route53:GetHealthCheckStatus",
"route53:GetHealthCheckLastFailureReason"
],
"Resource": "*"
}
]
}
```
------
Die Richtlinie enthält zwei Anweisungen:
+ Die erste Anweisung gewährt Berechtigungen für die Aktionen, die zum Erstellen und Verwalten von öffentlichen gehosteten Zonen und deren Datensätzen erforderlich sind. Das Platzhalterzeichen (\$1) im Amazon-Ressourcennamen (ARN) gewährt Zugriff auf alle Hosting-Zonen, die dem aktuellen AWS Konto gehören.
+ Die zweite Anweisung erteilt Berechtigungen für alle Aktionen, die zum Erstellen und Verwalten von Zustandsprüfungen erforderlich sind.
Eine Liste der Aktionen mit den anzugebenden ARNs, mit denen ihnen Berechtigungen erteilt oder entzogen werden, finden Sie unter [Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md).
## Erforderliche Berechtigungen zur Verwendung der Amazon-Route-53-Konsole
Um Vollzugriff auf die Amazon-Route-53-Konsole zu gewähren, gewähren Sie die Berechtigungen in der folgenden Berechtigungsrichtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:*",
"route53domains:*",
"tag:*",
"ssm:GetParametersByPath",
"cloudfront:ListDistributions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"sns:CreateTopic",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateKey",
"kms:CreateAlias",
"kms:Sign",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
Gründe, warum die Berechtigungen erforderlich sind
**`route53:*`**
Ermöglicht die Durchführung aller Route-53-Aktionen, mit *Ausnahme* der folgenden Aktionen:
+ Erstellen und aktualisieren Sie Aliaseinträge, für die der Wert von **Alias Target** eine CloudFront Distribution, ein Elastic Load Balancing Load Balancer, eine Elastic Beanstalk Beanstalk-Umgebung oder ein Amazon S3 S3-Bucket ist. (Mit diesen Berechtigungen können Sie Alias-Datensätze erstellen, für die der Wert für **Alias Target** ein anderer Datensatz in der gleichen gehosteten Zone ist.)
+ Arbeiten mit privaten gehosteten Zonen
+ Arbeiten mit Domänen
+ Alarme erstellen, löschen und anzeigen. CloudWatch
+ Rendern Sie CloudWatch Metriken in der Route 53-Konsole.
**`route53domains:*`**
Ermöglicht Ihnen das Arbeiten mit Domänen.
Wenn Sie `route53`-Aktionen einzeln auflisten, müssen Sie `route53:CreateHostedZone` für das Arbeiten mit Domänen angeben. Wenn Sie eine Domäne registrieren, wird gleichzeitig eine gehostete Zone erstellt. Also erfordert eine Richtlinie, die Berechtigungen zur Registrierung von Domänen enthält, auch eine Berechtigung zum Erstellen von gehosteten Zonen.
Bei der Domänenregistrierung wird die Erteilung oder Ablehnung von Berechtigungen für einzelne Ressourcen von Route 53 nicht unterstützt.
**`route53resolver:*`**
Ermöglicht die Arbeit mit Route 53 VPC Resolver.
**`ssm:GetParametersByPath`**
Ermöglicht das Abrufen öffentlich verfügbarer Regionen, wenn Sie neue Aliaseinträge, private gehostete Zonen und Zustandsprüfungen erstellen.
**`cloudfront:ListDistributions`**
Ermöglicht das Erstellen und Aktualisieren von Aliasdatensätzen, für die der Wert von **Alias Target** eine CloudFront Verteilung ist.
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um eine Liste der Verteilungen abzurufen und in der Konsole anzuzeigen.
**`elasticloadbalancing:DescribeLoadBalancers`**
Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert für **Alias Target** ein ELB-Load Balancer ist.
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um eine Liste der Load Balancer abzurufen und in der Konsole anzuzeigen.
**`elasticbeanstalk:DescribeEnvironments`**
Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert für **Aliasziel** eine Elastic-Beanstalk-Umgebung ist.
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um eine Liste der Umgebungen abzurufen und in der Konsole anzuzeigen.
**`s3:ListAllMyBuckets`, `s3:GetBucketLocation` und `s3:GetBucketWebsite`**
Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert für **Aliasziel** ein Amazon-S3-Bucket ist. (Sie können einen Alias für einen Amazon-S3-Bucket nur erstellen, wenn der Bucket als Website-Endpunkt konfiguriert ist; `s3:GetBucketWebsite` ruft die benötigten Konfigurationsinformationen ab.)
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um eine Liste der Buckets abzurufen und in der Konsole anzuzeigen.
**`ec2:DescribeVpcs` und `ec2:DescribeRegions`**
Ermöglicht das Arbeiten mit privaten gehosteten Zonen.
**Alle aufgelisteten `ec2`-Berechtigungen**
Lassen Sie Sie mit Route 53 VPC Resolver arbeiten.
**`sns:ListTopics`, `sns:ListSubscriptionsByTopic`, `sns:CreateTopic`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms`**
Ermöglicht das Erstellen, Löschen und Anzeigen CloudWatch von Alarmen.
**`cloudwatch:GetMetricStatistics`**
Ermöglicht die Erstellung von CloudWatch metrischen Zustandsprüfungen.
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um Statistiken abzurufen und in der Konsole anzuzeigen.
**`apigateway:GET`**
Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert für **Aliasziel** eine Amazon-API-Gateway-API ist.
Diese Berechtigung ist nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet es nur, um eine Liste von anzuzeigen APIs , die in der Konsole angezeigt werden sollen.
**`kms:*`**
Ermöglicht das Arbeiten mit, AWS KMS um die DNSSEC-Signatur zu aktivieren.
## Beispielberechtigungen für einen Domänendatensatzbesitzer
Mithilfe von Berechtigungen für Ressourcendatensätze können Sie detaillierte Berechtigungen festlegen, die einschränken, was der AWS Benutzer aktualisieren oder ändern kann. Weitere Informationen finden Sie unter [Verwenden von IAM-Richtlinienbedingungen für die differenzierte Zugriffskontrolle](specifying-conditions-route53.md).
In einigen Szenarien kann ein Besitzer einer gehosteten Zone für die Gesamtverwaltung der gehosteten Zone verantwortlich sein, während eine andere Person in der Organisation für eine Teilmenge dieser Aufgaben verantwortlich ist. Ein Besitzer einer gehosteten Zone, der die DNSSEC-Signatur aktiviert hat, möchte möglicherweise eine IAM-Richtlinie erstellen, die unter anderem die Erlaubnis für eine andere Person beinhaltet, Resource Set Records (RRs) in der gehosteten Zone hinzuzufügen und zu löschen. Die spezifischen Berechtigungen, die ein Besitzer einer gehosteten Zone für einen Datensatzbesitzer oder andere Personen aktiviert, hängen von der Richtlinie ihrer Organisation ab.
Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie, die es einem Datensatzbesitzer ermöglicht RRs, Änderungen an Verkehrsrichtlinien und Zustandsprüfungen vorzunehmen. Ein Datensatzbesitzer mit dieser Richtlinie ist nicht berechtigt, Vorgänge auf Zonenebene durchzuführen, z. B. das Erstellen oder Löschen einer Zone, das Aktivieren oder Deaktivieren der Abfrageprotokollierung, das Erstellen oder Löschen eines wiederverwendbaren Delegierungssatzes oder das Ändern von DNSSEC-Einstellungen.
```
{
"Sid": "Do not allow zone-level modification ",
"Effect": "Allow",
"Action": [
"route53:ChangeResourceRecordSets",
"route53:CreateTrafficPolicy",
"route53:DeleteTrafficPolicy",
"route53:CreateTrafficPolicyInstance",
"route53:CreateTrafficPolicyVersion",
"route53:UpdateTrafficPolicyInstance",
"route53:UpdateTrafficPolicyComment",
"route53:DeleteTrafficPolicyInstance",
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck",
"route53:List*",
"route53:Get*"
],
"Resource": [
"*"
]
}
```
## Route 53 vom Kunden verwaltete Schlüsselberechtigungen für DNSSEC-Signierung erforderlich
Wenn Sie die DNSSEC-Signatur für Route 53 aktivieren, erstellt Route 53 einen Schlüsselsignaturschlüssel (KSK), der auf einem vom Kunden verwalteten Schlüssel in () basiert. AWS Key Management Service AWS KMS Sie können einen vorhandenen vom Kunden verwalteten Schlüssel verwenden, der DNSSEC-Signatur unterstützt oder einen neuen Schlüssel erstellen. Route 53 muss über die Berechtigung verfügen, auf den vom Kunden verwalteten Schlüssel zuzugreifen, damit die KSK für Sie erstellt werden kann.
Um Route 53 für den Zugriff auf Ihren vom Kunden verwalteten Schlüssel zu aktivieren, stellen Sie sicher, dass die vom Kunden verwaltete Schlüsselrichtlinie die folgenden Anweisungen enthält:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:DescribeKey",
"kms:GetPublicKey",
"kms:Sign"],
"Resource": "*"
},
{
"Sid": "Allow Route 53 DNSSEC to CreateGrant",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:CreateGrant"],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
```
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, sie auszuführen. Um sich davor zu schützen, können Sie optional die Berechtigungen, die ein Dienst für eine Ressource hat, in einer ressourcenbasierten Richtlinie einschränken, indem Sie eine Kombination aus `aws:SourceAccount` und `aws:SourceArn` Bedingungen (beide oder eine) angeben. AWS KMS `aws:SourceAccount`ist eine AWS Konto-ID eines Besitzers einer gehosteten Zone. `aws:SourceArn`ist ein ARN einer gehosteten Zone.
Im Folgenden finden Sie zwei Beispiele für Berechtigungen, die Sie hinzufügen können:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/HOSTED_ZONE_ID"
}
}
},
```
- Oder -
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["1111-2222-3333","4444-5555-6666"]
},
"ArnLike": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/*"
}
}
},
```
Weitere Informationen finden Sie unter [Das Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) im *IAM-Benutzerhandbuch*.
## Beispiele für vom Kunden verwaltete Richtlinien
Sie können eigene benutzerdefinierte IAM-Richtlinien erstellen, um Berechtigungen für Route-53-Aktionen zu erteilen. Sie können diese benutzerdefinierten Richtlinien den IAM-Gruppen anfügen, für die die angegebenen Berechtigungen erforderlich sind. Diese Richtlinien funktionieren, wenn Sie die Route 53-API AWS SDKs, die oder die AWS CLI verwenden. Die folgenden Beispiele zeigen Berechtigungen für einige häufige Anwendungsfälle. Weitere Informationen zu der Richtlinie, die Benutzern Vollzugriff auf Route 53 gewährt, finden Sie unter [Erforderliche Berechtigungen zur Verwendung der Amazon-Route-53-Konsole](#console-required-permissions).
**Topics**
+ [Beispiel 1: Lesezugriff auf alle gehosteten Zonen gewähren](#access-policy-example-allow-read-hosted-zones)
+ [Beispiel 2: Erstellen und Löschen gehosteter Zonen zulassen](#access-policy-example-allow-create-delete-hosted-zones)
+ [Beispiel 3: Vollzugriff auf alle Domänen erlauben (nur öffentliche gehostete Zonen)](#access-policy-example-allow-full-domain-access)
+ [Beispiel 4: Erstellung von eingehenden und ausgehenden Route 53 VPC Resolver-Endpunkten zulassen](#access-policy-example-create-resolver-endpoints)
### Beispiel 1: Lesezugriff auf alle gehosteten Zonen gewähren
Die folgende Berechtigungsrichtlinie gewährt dem Benutzer Berechtigungen zum Auflisten aller gehosteten Zonen und zum Anzeigen aller Datensätze in einer gehosteten Zone.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:GetHostedZone",
"route53:ListResourceRecordSets"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:ListHostedZones"],
"Resource":"*"
}
]
}
```
------
### Beispiel 2: Erstellen und Löschen gehosteter Zonen zulassen
Die folgende Berechtigungsrichtlinie erlaubt es Benutzern, gehostete Zonen zu erstellen und zu löschen und den Fortschritt der Änderung zu verfolgen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["route53:CreateHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:DeleteHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:GetChange"],
"Resource":"*"
}
]
}
```
------
### Beispiel 3: Vollzugriff auf alle Domänen erlauben (nur öffentliche gehostete Zonen)
Die folgende Berechtigungsrichtlinie erlaubt es Benutzern, alle Aktionen für die Domänenregistrierung durchzuführen (z. B. Berechtigungen zum Registrieren von Domänen und Erstellen gehosteter Zonen).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53domains:*",
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
Wenn Sie eine Domäne registrieren, wird gleichzeitig eine gehostete Zone erstellt. Also erfordert eine Richtlinie, die Berechtigungen zur Registrierung von Domänen enthält, auch Berechtigungen zum Erstellen von gehosteten Zonen. (Bei der Domänenregistrierung wird die Erteilung von Berechtigungen für einzelne Ressourcen von Route 53 nicht unterstützt.)
Weitere Informationen zu den Berechtigungen, die für das Arbeiten mit privaten gehosteten Zonen erforderlich sind, finden Sie unter [Erforderliche Berechtigungen zur Verwendung der Amazon-Route-53-Konsole](#console-required-permissions).
### Beispiel 4: Erstellung von eingehenden und ausgehenden Route 53 VPC Resolver-Endpunkten zulassen
Mit der folgenden Berechtigungsrichtlinie können Benutzer die Route-53-Konsole verwenden, um eingehende und ausgehende Resolver-Endpunkte zu erstellen.
Einige dieser Berechtigungen sind nur zum Erstellen von Endpunkten in der Konsole erforderlich. Sie können diese Berechtigungen weglassen, wenn Sie Berechtigungen nur zum programmgesteuerten Erstellen eingehender und ausgehender Endpunkte erteilen möchten:
+ Mit `route53resolver:ListResolverEndpoints` können Benutzer die Liste der eingehenden oder ausgehenden Endpunkte anzeigen, damit sie überprüfen können, ob ein Endpunkt erstellt wurde.
+ `DescribeAvailabilityZones` ist erforderlich, um eine Liste der Availability Zones anzuzeigen.
+ `DescribeVpcs`ist erforderlich, um eine Liste von anzuzeigen. VPCs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53resolver:CreateResolverEndpoint",
"route53resolver:ListResolverEndpoints",
"ec2:CreateNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# Verwenden von serviceverknüpften Rollen für Amazon Route 53 Resolver
[Route 53 VPC Resolver verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit VPC Resolver verknüpft ist. Dienstbezogene Rollen sind von VPC Resolver vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von VPC Resolver, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. VPC Resolver definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur VPC Resolver seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre VPC-Resolver-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS services that work with IAM (-Services, die mit IAM funktionieren)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Yes (Ja) **in der Spalte **Service-Linked Role (Serviceverknüpfte Rolle)** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Topics**
+ [Dienstverknüpfte Rollenberechtigungen für VPC Resolver](#slr-permissions)
+ [Eine serviceverknüpfte Rolle für VPC Resolver erstellen](#create-slr)
+ [Bearbeiten einer serviceverknüpften Rolle für VPC Resolver](#edit-slr)
+ [Löschen einer serviceverknüpften Rolle für VPC Resolver](#delete-slr)
+ [Unterstützte Regionen für serviceverknüpfte VPC-Resolver-Rollen](#slr-regions)
## Dienstverknüpfte Rollenberechtigungen für VPC Resolver
VPC Resolver verwendet die **`AWSServiceRoleForRoute53Resolver`**serviceverknüpfte Rolle, um Abfrageprotokolle in Ihrem Namen bereitzustellen.
Die Rollenberechtigungsrichtlinie ermöglicht es VPC Resolver, die folgenden Aktionen an Ihren Ressourcen durchzuführen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups",
"s3:GetBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für VPC Resolver erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Zuordnung zur Konfiguration des Resolver-Abfrageprotokolls in der Amazon Route 53 53-Konsole, der oder der AWS API erstellen AWS CLI, erstellt VPC Resolver die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den VPC Resolver-Dienst vor dem 12. August 2020 verwendet haben, als er begann, serviceverknüpfte Rollen zu unterstützen, hat VPC Resolver die `AWSServiceRoleForRoute53Resolver` Rolle außerdem in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem IAM-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine neue Konfigurationszuordnung für das Resolver-Abfrageprotokoll erstellen, wird die serviceverknüpfte `AWSServiceRoleForRoute53Resolver`-Rolle erneut für Sie erstellt.
## Bearbeiten einer serviceverknüpften Rolle für VPC Resolver
Mit VPC Resolver können Sie die `AWSServiceRoleForRoute53Resolver` serviceverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für VPC Resolver
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der VPC-Resolver-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um VPC-Resolver-Ressourcen zu löschen, die von `AWSServiceRoleForRoute53Resolver`**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Route 53-Konsole unter. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)
1. Erweitern Sie das Route-53-Konsolenmenü. Wählen Sie oben links in der Konsole die drei horizontalen Balken (![\[Menu icon\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/images/menu-icon.png)) aus.
1. Wählen Sie im **Resolver**-Menü die Option **Abfrageprotokollierung**.
1. Aktivieren Sie das Kontrollkästchen neben dem Namen Ihrer Abfrageprotokollierungskonfiguration, und wählen Sie dann **Löschen** aus.
1. Wählen Sie im Textfeld **Konfiguration der Abfrageprotokollierung löschen** die Option **Protokollierungsabfragen beenden** aus.
Dadurch wird die Verbindung zwischen der Konfiguration und der VPC getrennt. Sie können die Zuordnung der Konfiguration der Abfrageprotokollierung auch programmgesteuert aufheben. Weitere Informationen finden Sie unter [disassociate-resolver-query-log-config](https://docs.aws.amazon.com//cli/latest/reference/route53resolver/disassociate-resolver-query-log-config.html).
1. Nachdem die Protokollierung von Abfragen beendet wurde, können Sie optional **delete** in das Feld eingeben und **Löschen** wählen, um die Abfrageprotokollierungskonfiguration zu löschen. Dies ist jedoch nicht erforderlich, um die von `AWSServiceRoleForRoute53Resolver`verwendeten Ressourcen zu löschen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die `AWSServiceRoleForRoute53Resolver` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für serviceverknüpfte VPC-Resolver-Rollen
VPC Resolver unterstützt nicht die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Sie können die Rolle `AWSServiceRoleForRoute53Resolver` in den folgenden Regionen verwenden.
****
| Name der Region | Regions-ID | Support in VPC Resolver |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| China (Peking) | cn-north-1 | Ja |
| China (Ningxia) | cn-northwest-1 | Ja |
| AWS GovCloud (US) | us-gov-east-1 | Ja |
| AWS GovCloud (US) | us-gov-west-1 | Ja |
# AWS verwaltete Richtlinien für Amazon Route 53
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AmazonRoute 53 FullAccess
Sie können die `AmazonRoute53FullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt vollen Zugriff auf Route 53-Ressourcen, einschließlich Domainregistrierung und Integritätsprüfung, jedoch ohne VPC Resolver.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `route53:*` – Ermöglicht die Durchführung aller Route-53-Aktionen, mit *Ausnahme* der folgenden Aktionen:
+ Erstellen und aktualisieren Sie Aliaseinträge, für die der Wert von **Alias Target** eine CloudFront Distribution, ein Elastic Load Balancing Load Balancer, eine Elastic Beanstalk Beanstalk-Umgebung oder ein Amazon S3 S3-Bucket ist. (Mit diesen Berechtigungen können Sie Alias-Datensätze erstellen, für die der Wert für **Alias Target** ein anderer Datensatz in der gleichen gehosteten Zone ist.)
+ Arbeiten mit privaten gehosteten Zonen
+ Arbeiten mit Domänen
+ Alarme erstellen, löschen und anzeigen. CloudWatch
+ Rendern Sie CloudWatch Metriken in der Route 53-Konsole.
+ `route53domains:*` – Ermöglicht Ihnen das Arbeiten mit Domänen.
+ `cloudfront:ListDistributions`— Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert von **Alias Target** eine CloudFront Verteilung ist.
Diese Berechtigung ist nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um eine Liste der Verteilungen abzurufen und in der Konsole anzuzeigen.
+ `cloudfront:GetDistributionTenantByDomain`— Wird verwendet, um die CloudFront Mehrmandantenverteilungen abzurufen, sodass Sie Aliasdatensätze erstellen und aktualisieren können, für die der Wert von **Alias Target** ein CloudFront Verteilungsmandant ist.
+ `cloudfront:GetConnectionGroup`— Wird verwendet, um die CloudFront Mehrmandantenverteilungen abzurufen, sodass Sie Aliasdatensätze erstellen und aktualisieren können, für die der Wert von **Alias** Target ein Verteilungsmandant ist. CloudFront
+ `cloudwatch:DescribeAlarms`— Ermöglicht zusammen mit `sns:ListTopics` und `sns:ListSubscriptionsByTopic` das Erstellen, Löschen und Anzeigen von Alarmen. CloudWatch
+ `cloudwatch:GetMetricStatistics`— Ermöglicht die Erstellung von CloudWatch metrischen Zustandsprüfungen.
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um Statistiken abzurufen und in der Konsole anzuzeigen.
+ `cloudwatch:GetMetricData`— Ermöglicht es Ihnen, den Status Ihrer CloudWatch Gesundheitscheck-Metriken anzuzeigen.
+ `ec2:DescribeVpcs`— Ermöglicht das Anzeigen einer Liste von VPCs.
+ `ec2:DescribeVpcEndpoints` – Ermöglicht das Anzeigen einer Liste von VPC Endpunkten.
+ `ec2:DescribeRegions` – Ermöglicht Ihnen das Anzeigen einer Liste von Availability Zones.
+ `elasticloadbalancing:DescribeLoadBalancers` – Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert für **Aliasziel** ein Elastic-Load-Balancing-Load-Balancer ist.
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um eine Liste der Load Balancer abzurufen und in der Konsole anzuzeigen.
+ `elasticbeanstalk:DescribeEnvironments` – Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert für **Aliasziel** eine Elastic-Beanstalk-Umgebung ist.
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um eine Liste der Umgebungen abzurufen und in der Konsole anzuzeigen.
+ `es:ListDomainNames`— Ermöglicht die Anzeige der Namen aller Amazon OpenSearch Service-Domains, die dem aktuellen Benutzer in der aktiven Region gehören.
+ `es:DescribeDomains`— Ermöglicht das Abrufen der Domain-Konfiguration für die angegebenen Amazon OpenSearch Service-Domains.
+ `lightsail:GetContainerServices`— Ermöglicht Ihnen die Lightsail-Container-Dienste, mit denen Sie Alias-Datensätze erstellen und aktualisieren können, für die der Wert von **Alias Target** eine Lightsail-Domain ist.
+ `s3:ListBucket`, `s3:GetBucketLocation`, und `s3:GetBucketWebsite` – Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert für **Aliasziel** ein Amazon-S3-Bucket ist. (Sie können einen Alias für einen Amazon-S3-Bucket nur erstellen, wenn der Bucket als Website-Endpunkt konfiguriert ist; `s3:GetBucketWebsite` ruft die benötigten Konfigurationsinformationen ab.)
Diese Berechtigungen sind nicht erforderlich, wenn Sie die Route-53-Konsole nicht verwenden. Route 53 verwendet sie nur, um eine Liste der Buckets abzurufen und in der Konsole anzuzeigen.
+ `sns:ListTopics`,`sns:ListSubscriptionsByTopic`, `cloudwatch:DescribeAlarms` — Ermöglicht das Erstellen, Löschen und Anzeigen von Alarmen. CloudWatch
+ `tag:GetResources`— Ermöglicht die Anzeige der Tags in Ihren Ressourcen. Zum Beispiel die Namen Ihrer Gesundheitschecks.
+ `apigateway:GET` – Ermöglicht das Erstellen und Aktualisieren von Alias-Datensätzen, für die der Wert für **Aliasziel** eine Amazon-API-Gateway-API ist.
Weitere Informationen zu den Berechtigungen finden Sie unter[Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonRoute 53 ReadOnlyAccess
Sie können die `AmazonRoute53ReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt schreibgeschützten Zugriff auf Route 53-Ressourcen, einschließlich Domänenregistrierung und Integritätsprüfung, jedoch ohne VPC Resolver.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `route53:Get*` – Ruft die Route-53-Ressourcen ab.
+ `route53:List*` – Listet die Route-53-Ressourcen auf.
+ `route53:TestDNSAnswer` – Ruft den Wert ab, den Route 53 als Antwort auf eine DNS-Anforderung zurückgibt.
Weitere Informationen zu den Berechtigungen finden Sie unter. [Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonRoute 53 DomainsFullAccess
Sie können die `AmazonRoute53DomainsFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt uneingeschränkten Zugriff auf Route-53-Domänenregistrierungsressourcen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `route53:CreateHostedZone` – Ermöglicht Ihnen das Erstellen einer von Route 53 gehosteten Zone.
+ `route53domains:*` – Ermöglicht das Registrieren von Domänennamen und das Ausführen zugehöriger Vorgänge.
Weitere Informationen zu den Berechtigungen finden Sie unter[Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonRoute 53 DomainsReadOnlyAccess
Sie können die `AmazonRoute53DomainsReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Nur-Lesen-Zugriff auf Route-53-Domänenregistrierungsressourcen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `route53domains:Get*` – Ermöglicht das Abrufen einer Liste von Domänen von Route 53.
+ `route53domains:List*` – Hier können Sie eine Liste der Route-53-Domänen anzeigen.
Weitere Informationen zu den Berechtigungen finden Sie unter[Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonRoute 53 ResolverFullAccess
Sie können die `AmazonRoute53ResolverFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt vollen Zugriff auf Route 53 VPC Resolver-Ressourcen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `route53resolver:*`— Ermöglicht das Erstellen und Verwalten von VPC-Resolver-Ressourcen auf der Route 53-Konsole.
+ `ec2:DescribeSubnets` – Ermöglicht das Auflisten Ihrer Amazon-VPC-Subnetze.
+ `ec2:CreateNetworkInterface`, `ec2:DeleteNetworkInterface` und `ec2:ModifyNetworkInterfaceAttribute` – Ermöglicht das Erstellen, Ändern und Löschen von Netzwerkschnittstellen.
+ `ec2:DescribeNetworkInterfaces` – Hiermit können Sie eine Liste der Netzwerkschnittstellen anzeigen.
+ `ec2:DescribeSecurityGroups` – Ermöglicht Ihnen das Anzeigen einer Liste mit all Ihren Sicherheitsgruppen.
+ `ec2:DescribeVpcs`— Ermöglicht das Anzeigen einer Liste von. VPCs
+ `ec2:DescribeAvailabilityZones` – Ermöglicht Ihnen das Auflisten der Zonen, die für Sie verfügbar sind.
Weitere Informationen zu den Berechtigungen finden Sie unter[Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonRoute 53 ResolverReadOnlyAccess
Sie können die `AmazonRoute53ResolverReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt schreibgeschützten Zugriff auf Route 53 VPC Resolver-Ressourcen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `route53resolver:Get*`— Ruft VPC-Resolver-Ressourcen ab.
+ `route53resolver:List*`— Ermöglicht das Anzeigen einer Liste von VPC-Resolver-Ressourcen.
+ `ec2:DescribeNetworkInterfaces` – Hiermit können Sie eine Liste der Netzwerkschnittstellen anzeigen.
+ `ec2:DescribeSecurityGroups` – Ermöglicht Ihnen das Anzeigen einer Liste mit all Ihren Sicherheitsgruppen.
Weitere Informationen zu den Berechtigungen finden Sie unter. [Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: Route53 ResolverServiceRolePolicy
Sie können `Route53ResolverServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle zugeordnet, die es Route 53 VPC Resolver ermöglicht, auf AWS Dienste und Ressourcen zuzugreifen, die von VPC Resolver verwendet oder verwaltet werden. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon Route 53 Resolver](using-service-linked-roles.md).
## AWS verwaltete Richtlinie: 53 AmazonRoute ProfilesFullAccess
Sie können die `AmazonRoute53ProfilesReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt vollen Zugriff auf die Amazon Route 53 53-Profilressourcen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `route53profiles`— Ermöglicht das Erstellen und Verwalten von Profilressourcen auf der Route 53-Konsole.
+ `ec2`— Ermöglicht Prinzipalen das Abrufen von Informationen über VPCs.
Weitere Informationen zu den Berechtigungen finden Sie unter[Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonRoute 53 ProfilesReadOnlyAccess
Sie können die `AmazonRoute53ProfilesReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Lesezugriff auf Amazon Route 53 53-Profilressourcen.
**Details zu Berechtigungen**
Weitere Informationen zu den Berechtigungen finden Sie unter. [Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](r53-api-permissions-ref.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## Leiten Sie 53-Updates an AWS verwaltete Richtlinien weiter
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Route 53 an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed auf der Route-53-[Dokumentverlauf](History.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — Aktualisierte Richtlinie | Fügt Berechtigungen für `cloudwatch:GetMetricData``tag:GetResources`,`es:ListDomainNames`, `es:DescribeDomains``cloudfront:GetDistributionTenantByDomain`, `cloudfront:GetConnectionGroup` und hinzu`lightsail:GetContainerServices`. Mit diesen Berechtigungen können Sie bis zu 500 CloudWatch Health Check-Metriken und bis zu 100 Namen von Zustandsprüfungen abrufen, die Domain-Konfiguration für die angegebenen Amazon OpenSearch Service-Domains abrufen und die Namen aller Amazon OpenSearch Service-Domains auflisten, die dem aktuellen Benutzer in der aktiven Region gehören, die CloudFront Multi-Tenant-Distributionen abrufen und die Lightsail-Container-Services abrufen. | 01. Juni 2025 |
| [AmazonRoute53 ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) — Aktualisierte Richtlinie | Fügt Berechtigungen für `GetProfilePolicy` und hinzu`PutProfilePolicy`. Dies sind IAM-Aktionen, die nur für Berechtigungen gelten. Wenn einem IAM-Prinzipal diese Berechtigungen nicht erteilt wurden, tritt beim Versuch, das Profil mithilfe des AWS RAM Dienstes freizugeben, ein Fehler auf. | 27. August 2024 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — Aktualisierte Richtlinie | Fügt Berechtigungen hinzu für`GetProfilePolicy`. Dies ist eine IAM-Aktion, für die nur Berechtigungen erforderlich sind. Wenn einem IAM-Prinzipal diese Berechtigung nicht erteilt wurde, tritt beim Versuch, mithilfe des Dienstes auf die Richtlinie des Profils zuzugreifen, ein Fehler auf. AWS RAM | 27. August 2024 |
| [AmazonRoute53 ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) — Aktualisierte Richtlinie | Es wurde eine Kontoausweis-ID (Sid) hinzugefügt, um die Richtlinie eindeutig zu identifizieren. | 5. August 2024 |
| [AmazonRoute53 ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) — Aktualisierte Richtlinie | Es wurde eine Kontoausweis-ID (Sid) hinzugefügt, um die Richtlinie eindeutig zu identifizieren. | 5. August 2024 |
| [AmazonRoute53 — Neue Richtlinie ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, um vollen Zugriff auf Amazon Route 53 53-Profilressourcen zu ermöglichen. | 22. April 2024 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — Neue Richtlinie | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, die den schreibgeschützten Zugriff auf Amazon Route 53 53-Profilressourcen ermöglicht. | 22. April 2024 |
| [Route53 ResolverServiceRolePolicy](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) — Neue Richtlinie | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, die an eine serviceverknüpfte Rolle angehängt ist und es VPC Resolver ermöglicht, auf AWS Services und Ressourcen zuzugreifen, die von Resolver verwendet oder verwaltet werden. | 14. Juli 2021 |
| [AmazonRoute53 — Neue Richtlinie ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, die den schreibgeschützten Zugriff auf VPC-Resolver-Ressourcen ermöglicht. | 14. Juli 2021 |
| [AmazonRoute53 — Neue Richtlinie ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, um vollen Zugriff auf VPC-Resolver-Ressourcen zu ermöglichen. | 14. Juli 2021 |
| [AmazonRoute53 DomainsReadOnlyAccess — Neue](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) Richtlinie | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, um den schreibgeschützten Zugriff auf Route 53-Domänenressourcen zu ermöglichen. | 14. Juli 2021 |
| [AmazonRoute53 DomainsFullAccess — Neue](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) Richtlinie | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, um vollen Zugriff auf Route 53-Domänenressourcen zu ermöglichen. | 14. Juli 2021 |
| [AmazonRoute53 ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) — Neue Richtlinie | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, um den schreibgeschützten Zugriff auf Route 53-Ressourcen zu ermöglichen. | 14. Juli 2021 |
| [AmazonRoute53 FullAccess — Neue](#security-iam-awsmanpol-AmazonRoute53FullAccess) Richtlinie | Amazon Route 53 hat eine neue Richtlinie hinzugefügt, um vollen Zugriff auf Route 53-Ressourcen zu ermöglichen. | 14. Juli 2021 |
| Route 53 hat begonnen, Änderungen zu verfolgen | Route 53 hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen. | 14. Juli 2021 |
# Verwenden von IAM-Richtlinienbedingungen für die differenzierte Zugriffskontrolle
In Route 53 können Sie Bedingungen angeben, wenn Sie Berechtigungen mithilfe einer IAM-Richtlinie erteilen (siehe [Zugriffskontrolle](security-iam.md#access-control)). Beispielsweise ist Folgendes möglich:
+ Erteilen Sie Berechtigungen, um Zugriff auf einen einzelnen Ressourcendatensatz zu gewähren.
+ Gewähren Sie Berechtigungen, um Benutzern Zugriff auf alle Ressourceneintragssätze eines bestimmten DNS-Eintragstyps in einer gehosteten Zone zu gewähren, z. B. A- und AAAA-Datensätze.
+ Gewähren Sie Berechtigungen, um Benutzern den Zugriff auf einen Ressourcendatensatz zu ermöglichen, dessen Name eine bestimmte Zeichenfolge enthält.
+ Gewähren Sie Benutzern Berechtigungen, damit sie nur einen Teil der `CREATE | UPSERT | DELETE` Aktionen auf der Route 53-Konsole oder bei Verwendung der API ausführen können. [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html)
+ Gewähren Sie Benutzern Berechtigungen, die es Benutzern ermöglichen, private gehostete Zonen einer bestimmten VPC zuzuordnen oder von ihr zu trennen.
+ Erteilen Sie Berechtigungen, damit Benutzer gehostete Zonen auflisten können, die einer bestimmten VPC zugeordnet sind.
+ Erteilen Sie Berechtigungen, um Benutzern Zugriff auf die Erstellung einer neuen privaten gehosteten Zone und deren Zuordnung zu einer bestimmten VPC zu gewähren.
+ Erteilen Sie Berechtigungen, damit Benutzer eine VPC-Zuordnungsautorisierung erstellen oder löschen können.
Sie können auch Berechtigungen erstellen, die eine der detaillierten Berechtigungen kombinieren.
## Normalisierung der Schlüsselwerte der Route 53-Bedingung
Die Werte, die Sie für die Richtlinienbedingungen eingeben, müssen wie folgt formatiert oder normalisiert sein:
**Für `route53:ChangeResourceRecordSetsNormalizedRecordNames`:**
+ Alle Buchstaben müssen Kleinbuchstaben sein.
+ Der DNS-Name muss ohne den letzten Punkt sein.
+ Andere Zeichen als a–z, 0–9, - (Bindestrich), \$1 (Unterstrich) und . (Punkt, als Trennzeichen zwischen Kennzeichnungen) müssen Escape-Codes im Format \$1dreistelliger Oktalcode verwenden. Zum Beispiel ist `\052 `der Oktalcode für das Zeichen \$1.
**Für `route53:ChangeResourceRecordSetsActions` kann der Wert einer der folgenden Möglichkeiten sein und muss in Großbuchstaben sein:**
+ CREATE
+ UPSERT
+ DELETE
**Für `route53:ChangeResourceRecordSetsRecordTypes`**:
+ Der Wert muss in Großbuchstaben geschrieben werden und kann einer der von Route 53 unterstützten DNS-Eintragstypen sein. Weitere Informationen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).
**Für `route53:VPCs`:**
+ Der Wert muss das Format von `VPCId=,VPCRegion=` haben.
+ Der Wert von `` und `` muss in Kleinbuchstaben angegeben werden, z. B. `VPCId=vpc-123abc` und`VPCRegion=us-east-1`.
+ Bei den Kontextschlüsseln und Werten wird zwischen Groß- und Kleinschreibung unterschieden.
**Wichtig**
Damit Ihre Berechtigungen Aktionen wie gewünscht zulassen oder einschränken können, müssen Sie diese Konventionen befolgen. Nur `VPCId` `VPCRegion` Elemente werden von diesem Bedingungsschlüssel akzeptiert, andere AWS Ressourcen, wie z. B. AWS-Konto, werden nicht unterstützt.
Sie können den [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) oder [Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) im *IAM-Benutzerhandbuch* nutzen, um zu überprüfen, ob Ihre Richtlinie die Berechtigungen wie erwartet gewährt oder einschränkt. Sie können die Berechtigungen auch überprüfen, indem Sie eine IAM-Richtlinie auf einen Testbenutzer oder eine Testrolle anwenden, um Route 53-Vorgänge auszuführen.
## Festlegung von Bedingungen: Verwenden von Bedingungsschlüsseln
AWS stellt einen Satz vordefinierter Bedingungsschlüssel (für alle AWS Bedingungsschlüssel) für alle AWS Dienste bereit, die IAM für die Zugriffskontrolle unterstützen. Sie können beispielsweise den `aws:SourceIp`-Bedingungsschlüssel verwenden, um die IP-Adresse des Anforderers zu prüfen, bevor eine Aktion durchgeführt werden darf. Weiter Informationen und eine Liste von AWS-weiten Schlüsseln finden Sie unter [Verfügbare Schlüssel für Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Route 53 unterstützt keine tag-basierten Bedingungsschlüssel.
In der folgenden Tabelle sind die dienstspezifischen Bedingungsschlüssel für Route 53 aufgeführt, die für Route 53 gelten.
****
| Route 53-Bedingungsschlüssel | API-Operationen | Werttyp | Description |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Mehrwertig | Stellt eine Liste von DNS-Eintragsnamen in der Anfrage von ChangeResourceRecordSets dar. Um das erwartete Verhalten zu erhalten, müssen DNS-Namen in der IAM-Richtlinie wie folgt normalisiert werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Mehrwertig | Stellt eine Liste von DNS-Eintragstypen in der Anforderung von `ChangeResourceRecordSets` dar. `ChangeResourceRecordSetsRecordTypes` kann jeder der von Route 53 unterstützten DNS-Eintragstypen sein. Weitere Informationen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md). Alle müssen in der Richtlinie in Großbuchstaben eingegeben werden. |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Mehrwertig | Stellt eine Liste von Aktionen in der Anforderung von `ChangeResourceRecordSets` dar. `ChangeResourceRecordSetsActions` kann jeder der folgenden Werte sein (muss in Großbuchstaben sein): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [Assoziieren VPCWith HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [Trennen VPCFrom HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [Autorisierung erstellen VPCAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [VPCAssociationAutorisierung löschen](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | Mehrwertig | Stellt eine Liste von VPCs in der Anfrage vonAssociateVPCWithHostedZone,DisassociateVPCFromHostedZone, ListHostedZonesByVPCCreateHostedZone,CreateVPCAssociationAuthorization, undDeleteVPCAssociationAuthorization, und, im Format "VPCId=, VPCRegion = |
## Beispielrichtlinien: Verwenden von Bedingungen für differenzierten Zugriff
Jedes der Beispiele im folgenden Abschnitt legt die Effektklausel auf „erlauben“ fest und gibt nur die Aktionen, Ressourcen und Parameter an, die erlaubt sind. Zugriff hat lediglich das, was in der IAM-Richtlinie aufgeführt ist.
In einigen Fällen ist es möglich, diese Richtlinien umzuschreiben, damit sie auf Verweigerung basieren (dies bedeutet, die Effektklausel auf „verweigern“ festzulegen und die gesamte Logik in der Richtlinie umzukehren). Allerdings empfehlen wir, dass Sie die Nutzung von Richtlinien, die auf Verweigerung basieren vermeiden, weil es verglichen mit Richtlinien, die auf Berechtigung basieren, schwierig ist, sie korrekt zu schreiben. Dies gilt insbesondere für Route 53 aufgrund der erforderlichen Textnormalisierung.
**Berechtigungen erteilen, die den Zugriff auf DNS-Einträge mit bestimmten Namen beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `ChangeResourceRecordSets`-Aktionen in der gehosteten Zone Z12345 für example.com and marketing.example.com erlauben. Sie benutzt den `route53:ChangeResourceRecordSetsNormalizedRecordNames`-Bedingungsschlüssel, um Benutzeraktionen nur auf die Datensätze zu beschränken, die den angegebenen Namen entsprechen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` ist ein IAM-Bedingungsoperator, der für mehrwertige Schlüssel gilt. Die Bedingung in der obigen Richtlinie erlaubt den Vorgang nur, wenn alle Änderungen in `ChangeResourceRecordSets` den DNS-Namen example.com haben. Weitere Informationen finden Sie unter [IAM-Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) und[IAM-Bedingung mit mehreren Schlüsseln oder Werten](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) im IAM-Benutzerhandbuch.
Um die Berechtigung zu implementieren, die Namen mit bestimmten Suffixen abgleicht, können Sie den IAM-Platzhalter (\$1) in der Richtlinie mit Bedingungsoperator `StringLike` oder `StringNotLike` verwenden. Die folgende Richtlinie erlaubt den Vorgang, wenn alle Änderungen in der Operation `ChangeResourceRecordSets` DNS-Namen haben, die mit „-beta.example.com“ enden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**Anmerkung**
Der IAM-Platzhalter ist nicht derselbe wie der Platzhalter für den Domänennamen. Im folgenden Beispiel wird gezeigt, wie der Platzhalter mit einem Domänennamen verwendet wird.
**Gewähren Sie Berechtigungen, die den Zugriff auf DNS-Einträge einschränken, die mit einem Domänennamen mit Platzhalter übereinstimmen**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `ChangeResourceRecordSets`-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Er benutzt den Bedingungsschlüssel `route53:ChangeResourceRecordSetsNormalizedRecordNames`, um Benutzeraktionen nur auf die Datensätze zu beschränken, die mit \$1.example.com übereinstimmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` ist der Oktalcode für das Zeichen \$1 im DNS-Namen und `\` in `\052` ist entkommen, um `\\` zu sein, um JSON-Syntax zu folgen.
**Berechtigungen erteilen, die den Zugriff auf bestimmte DNS-Einträge beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `ChangeResourceRecordSets`-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Verwendet die Kombination von drei Bedingungsschlüsseln, um Benutzeraktionen so zu beschränken, dass nur DNS-Einträge mit einem bestimmten DNS-Namen und -Typ erstellt oder bearbeitet werden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**Berechtigungen erteilen, die den Zugriff auf die Erstellung und Bearbeitung nur der angegebenen Typen von DNS-Einträgen beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `ChangeResourceRecordSets`-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Sie benutzt den Bedingungsschlüssel `route53:ChangeResourceRecordSetsRecordTypes`, um Benutzeraktionen nur auf die Datensätze zu beschränken, die den angegebenen Typen (A und AAAA) entsprechen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**Gewähren Sie Berechtigungen, die die VPC angeben, in der der IAM-Prinzipal arbeiten kann**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen,`AssociateVPCWithHostedZone`,`DisassociateVPCFromHostedZone`, `ListHostedZonesByVPC` `CreateHostedZone``CreateVPCAssociationAuthorization`, und `DeleteVPCAssociationAuthorization` Aktionen auf der durch die VPC-ID angegebenen VPC.
**Wichtig**
Der Bedingungswert muss das Format von haben. `VPCId=,VPCRegion=` Wenn Sie im Bedingungswert einen VPC-ARN angeben, wird der Bedingungsschlüssel nicht wirksam.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
# Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen
*Wenn Sie eine Berechtigungsrichtlinie einrichten [Zugriffskontrolle](security-iam.md#access-control) und schreiben, die Sie einer IAM-Identität zuordnen können (identitätsbasierte Richtlinien), können Sie die Listen der [Aktionen, Ressourcen und Bedingungsschlüssel für Route 53, Aktionen, Ressourcen und Bedingungsschlüssel für Route 53-Domänen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)[, Aktionen, Ressourcen und Bedingungsschlüssel für](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53domains.html) [VPC Resolver und Aktionen, Ressourcen und Bedingungsschlüssel für](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html) [Amazon Route 53 Profiles verwenden, um DNS-Einstellungen mit VPCs in der Service Authorization Reference zu teilen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53profilesenablessharingdnssettingswithvpcs.html).* Die Seiten enthalten jede Amazon Route 53-API-Aktion, die Aktionen, für die Sie Zugriffsberechtigungen gewähren müssen, und die AWS Ressource, für die Sie Zugriff gewähren müssen. Die Aktionen geben Sie im Feld `Action` und den Wert für die Ressource im Feld `Resource` der Richtlinie an.
Sie können in Ihren Route 53-Richtlinien allgemeine Bedingungsschlüssel verwenden AWS, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter [Verfügbare Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Wenn Zugriff gewährt wird, müssen die gehostete Zone und die Amazon VPC zur selben Partition gehören. Eine Partition ist eine Gruppe von. AWS-Regionen Jede AWS-Konto ist auf eine Partition beschränkt.
Im Folgenden werden die unterstützten Partitionen angezeigt:
`aws` - AWS-Regionen
`aws-cn` – Chinesiche Regionen
`aws-us-gov` - AWS GovCloud (US) Region
Weitere Informationen finden Sie unter [Access Management](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) (Zugriffsverwaltung) in der *allgemeinen Referenz zu AWS *.
**Anmerkung**
Um eine Aktion anzugeben, verwenden Sie das gültige Präfix (`route53`, `route53domains` oder `route53resolver`) gefolgt vom Namen der API-Operation, z. B.:
`route53:CreateHostedZone`
`route53domains:RegisterDomain`
`route53resolver:CreateResolverEndpoint`