Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von IAM-Richtlinienbedingungen für die differenzierte Zugriffskontrolle
In Route 53 können Sie Bedingungen angeben, wenn Sie Berechtigungen mithilfe einer IAM-Richtlinie erteilen (siehe [Zugriffskontrolle](security-iam.md#access-control)). Beispielsweise ist Folgendes möglich:
+ Erteilen Sie Berechtigungen, um Zugriff auf einen einzelnen Ressourcendatensatz zu gewähren.
+ Gewähren Sie Berechtigungen, um Benutzern Zugriff auf alle Ressourceneintragssätze eines bestimmten DNS-Eintragstyps in einer gehosteten Zone zu gewähren, z. B. A- und AAAA-Datensätze.
+ Gewähren Sie Berechtigungen, um Benutzern den Zugriff auf einen Ressourcendatensatz zu ermöglichen, dessen Name eine bestimmte Zeichenfolge enthält.
+ Gewähren Sie Benutzern Berechtigungen, damit sie nur einen Teil der `CREATE | UPSERT | DELETE` Aktionen auf der Route 53-Konsole oder bei Verwendung der API ausführen können. [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html)
+ Gewähren Sie Benutzern Berechtigungen, die es Benutzern ermöglichen, private gehostete Zonen einer bestimmten VPC zuzuordnen oder von ihr zu trennen.
+ Erteilen Sie Berechtigungen, damit Benutzer gehostete Zonen auflisten können, die einer bestimmten VPC zugeordnet sind.
+ Erteilen Sie Berechtigungen, um Benutzern Zugriff auf die Erstellung einer neuen privaten gehosteten Zone und deren Zuordnung zu einer bestimmten VPC zu gewähren.
+ Erteilen Sie Berechtigungen, damit Benutzer eine VPC-Zuordnungsautorisierung erstellen oder löschen können.
+ Gewähren Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, nur bestimmte Ressourcentypen mit einem Route 53-Profil zu verwalten (associate/disassociate/update).
+ Gewähren Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, nur bestimmte Ressourcen ARNs mit einem Route 53-Profil zu verwalten (associate/disassociate/update).
+ Gewähren Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, nur bestimmte Domänen der gehosteten Zone mit einem Route 53-Profil zu verwalten (associate/disassociate/update).
+ Gewähren Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, nur bestimmte Resolver-Regeldomänen mit einem Route 53-Profil zu verwalten (associate/disassociate/update).
+ Gewähren Sie Benutzern Berechtigungen, um Benutzern die Verwaltung (associate/disassociate/update) Firewall-Regelgruppen mit einem bestimmten Prioritätsbereich in einem Route 53-Profil zu ermöglichen.
+ Erteilen Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, ein Route 53-Profil mit bestimmten zu verwalten (zuzuordnen/die Zuordnung aufzuheben). VPCs
Sie können auch Berechtigungen erstellen, die eine der detaillierten Berechtigungen kombinieren.
## Normalisieren der Schlüsselwerte der Route 53-Bedingung
Die Werte, die Sie für die Richtlinienbedingungen eingeben, müssen wie folgt formatiert oder normalisiert sein:
**Für `route53:ChangeResourceRecordSetsNormalizedRecordNames`:**
+ Alle Buchstaben müssen Kleinbuchstaben sein.
+ Der DNS-Name muss ohne den letzten Punkt sein.
+ Andere Zeichen als a–z, 0–9, - (Bindestrich), \$1 (Unterstrich) und . (Punkt, als Trennzeichen zwischen Kennzeichnungen) müssen Escape-Codes im Format \$1dreistelliger Oktalcode verwenden. Zum Beispiel ist `\052 `der Oktalcode für das Zeichen \$1.
**Für `route53:ChangeResourceRecordSetsActions` kann der Wert einer der folgenden Möglichkeiten sein und muss in Großbuchstaben sein:**
+ CREATE
+ UPSERT
+ DELETE
**Für `route53:ChangeResourceRecordSetsRecordTypes`**:
+ Der Wert muss in Großbuchstaben geschrieben werden und kann einer der von Route 53 unterstützten DNS-Eintragstypen sein. Weitere Informationen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md).
**Für `route53:VPCs`:**
+ Der Wert muss das Format von `VPCId=,VPCRegion=` haben.
+ Der Wert von `` und `` muss in Kleinbuchstaben angegeben werden, z. B. `VPCId=vpc-123abc` und`VPCRegion=us-east-1`.
+ Bei den Kontextschlüsseln und Werten wird zwischen Groß- und Kleinschreibung unterschieden.
**Wichtig**
Damit Ihre Berechtigungen Aktionen wie gewünscht zulassen oder einschränken können, müssen Sie diese Konventionen befolgen. Nur `VPCId` `VPCRegion` Elemente werden von diesem Bedingungsschlüssel akzeptiert, andere AWS Ressourcen, wie z. B. AWS-Konto, werden nicht unterstützt.
**Bei `route53profiles:ResourceTypes` dem Wert kann es sich um einen der folgenden Werte handeln, wobei Groß- und Kleinschreibung beachtet wird:**
+ HostedZone
+ FirewallRuleGroup
+ ResolverQueryLoggingConfig
+ ResolverRule
+ VPCEndpoint
**Für `route53profiles:ResourceArns`:**
+ Der Wert muss ein gültiger AWS Ressourcen-ARN sein, z. `arn:aws:route53:::hostedzone/Z12345` B.
+ Verwenden Sie den `ArnLike` Bedingungsoperator `ArnEquals` oder, wenn ARN ARN-Werte vergleichen.
**Für `route53profiles:HostedZoneDomains`:**
+ Der Wert muss ein gültiger Domainname sein, z. `example.com` B.
+ Der Domainname muss ohne den abschließenden Punkt sein.
+ Bei den Werten muss die Groß- und Kleinschreibung beachtet werden.
**Für `route53profiles:ResolverRuleDomains`:**
+ Der Wert muss ein gültiger Domainname sein, z. B. `example.com`
+ Der Domainname muss ohne den abschließenden Punkt sein.
+ Bei den Werten muss die Groß- und Kleinschreibung beachtet werden.
**Für `route53profiles:FirewallRuleGroupPriority`:**
+ Der Wert muss ein numerischer Wert sein, der die Priorität der Firewall-Regelgruppe angibt.
+ Verwenden Sie numerische Bedingungsoperatoren wie`NumericEquals`,`NumericGreaterThanEquals`, oder, `NumericLessThanEquals` um Prioritätswerte zu vergleichen oder einen Prioritätsbereich zu definieren.
**Für `route53profiles:ResourceIds`:**
+ Der Wert muss eine gültige VPC-ID sein, z. B. `vpc-1a2b3c4d5e6f`
+ Bei den Werten muss die Groß- und Kleinschreibung beachtet werden.
Sie können den [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) oder [Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) im *IAM-Benutzerhandbuch* nutzen, um zu überprüfen, ob Ihre Richtlinie die Berechtigungen wie erwartet gewährt oder einschränkt. Sie können die Berechtigungen auch überprüfen, indem Sie eine IAM-Richtlinie auf einen Testbenutzer oder eine Testrolle anwenden, um Route 53-Vorgänge auszuführen.
## Festlegung von Bedingungen: Verwenden von Bedingungsschlüsseln
AWS stellt einen Satz vordefinierter Bedingungsschlüssel (AWS-weite Bedingungsschlüssel) für alle AWS Dienste bereit, die IAM für die Zugriffskontrolle unterstützen. Sie können beispielsweise den `aws:SourceIp`-Bedingungsschlüssel verwenden, um die IP-Adresse des Anforderers zu prüfen, bevor eine Aktion durchgeführt werden darf. Weiter Informationen und eine Liste von AWS-weiten Schlüsseln finden Sie unter [Verfügbare Schlüssel für Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Route 53 unterstützt keine tag-basierten Bedingungsschlüssel.
In der folgenden Tabelle sind die dienstspezifischen Bedingungsschlüssel für Route 53 aufgeführt, die für Route 53 gelten.
****
| Route 53-Bedingungsschlüssel | API-Operationen | Werttyp | Description |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Mehrwertig | Stellt eine Liste von DNS-Eintragsnamen in der Anfrage von ChangeResourceRecordSets dar. Um das erwartete Verhalten zu erhalten, müssen DNS-Namen in der IAM-Richtlinie wie folgt normalisiert werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Mehrwertig | Stellt eine Liste von DNS-Eintragstypen in der Anforderung von `ChangeResourceRecordSets` dar. `ChangeResourceRecordSetsRecordTypes` kann jeder der von Route 53 unterstützten DNS-Eintragstypen sein. Weitere Informationen finden Sie unter [Unterstützte DNS-Datensatztypen](ResourceRecordTypes.md). Alle müssen in der Richtlinie in Großbuchstaben eingegeben werden. |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Mehrwertig | Stellt eine Liste von Aktionen in der Anforderung von `ChangeResourceRecordSets` dar. `ChangeResourceRecordSetsActions` kann jeder der folgenden Werte sein (muss in Großbuchstaben sein): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [Assoziieren VPCWith HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [Trennen VPCFrom HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [Autorisierung erstellen VPCAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [VPCAssociationAutorisierung löschen](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | Mehrwertig | Stellt eine Liste von VPCs in der Anfrage vonAssociateVPCWithHostedZone,DisassociateVPCFromHostedZone, ListHostedZonesByVPCCreateHostedZone,CreateVPCAssociationAuthorization, undDeleteVPCAssociationAuthorization, und, im Format "VPCId=, VPCRegion = |
| route53profiles:ResourceTypes | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Zeichenfolge | Filtert den Zugriff nach einem bestimmten Ressourcentyp. `route53profiles:ResourceTypes`kann einer der folgenden Werte sein (Groß- und Kleinschreibung beachten): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:ResourceArns | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) | ARN | Filtert den Zugriff nach einer bestimmten Ressource ARNs. |
| route53profiles:HostedZoneDomains | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Zeichenfolge | Filtert den Zugriff nach Hosted Zone-Domains. Um das erwartete Verhalten zu erzielen, müssen die Domainnamen in der IAM-Richtlinie wie folgt normalisiert werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:ResolverRuleDomains | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Zeichenfolge | Filtert den Zugriff nach Resolver Rule-Domänen. Um das erwartete Verhalten zu erzielen, müssen die Domainnamen in der IAM-Richtlinie wie folgt normalisiert werden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:FirewallRuleGroupPriority | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Numerischer Wert | Filtert den Zugriff nach dem Prioritätsbereich einer Firewall-Regelgruppe. |
| route53profiles:ResourceIds | [AssociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateProfile.html) [DisassociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateProfile.html) | Zeichenfolge | Filtert den Zugriff nach bestimmten Kriterien VPCs. |
## Beispielrichtlinien: Verwenden von Bedingungen für differenzierten Zugriff
Jedes der Beispiele im folgenden Abschnitt legt die Effektklausel auf „erlauben“ fest und gibt nur die Aktionen, Ressourcen und Parameter an, die erlaubt sind. Zugriff hat lediglich das, was in der IAM-Richtlinie aufgeführt ist.
In einigen Fällen ist es möglich, diese Richtlinien umzuschreiben, damit sie auf Verweigerung basieren (dies bedeutet, die Effektklausel auf „verweigern“ festzulegen und die gesamte Logik in der Richtlinie umzukehren). Allerdings empfehlen wir, dass Sie die Nutzung von Richtlinien, die auf Verweigerung basieren vermeiden, weil es verglichen mit Richtlinien, die auf Berechtigung basieren, schwierig ist, sie korrekt zu schreiben. Dies gilt insbesondere für Route 53 aufgrund der erforderlichen Textnormalisierung.
**Berechtigungen erteilen, die den Zugriff auf DNS-Einträge mit bestimmten Namen beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `ChangeResourceRecordSets`-Aktionen in der gehosteten Zone Z12345 für example.com and marketing.example.com erlauben. Sie benutzt den `route53:ChangeResourceRecordSetsNormalizedRecordNames`-Bedingungsschlüssel, um Benutzeraktionen nur auf die Datensätze zu beschränken, die den angegebenen Namen entsprechen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` ist ein IAM-Bedingungsoperator, der für mehrwertige Schlüssel gilt. Die Bedingung in der obigen Richtlinie erlaubt den Vorgang nur, wenn alle Änderungen in `ChangeResourceRecordSets` den DNS-Namen example.com haben. Weitere Informationen finden Sie unter [IAM-Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) und[IAM-Bedingung mit mehreren Schlüsseln oder Werten](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) im IAM-Benutzerhandbuch.
Um die Berechtigung zu implementieren, die Namen mit bestimmten Suffixen abgleicht, können Sie den IAM-Platzhalter (\$1) in der Richtlinie mit Bedingungsoperator `StringLike` oder `StringNotLike` verwenden. Die folgende Richtlinie erlaubt den Vorgang, wenn alle Änderungen in der Operation `ChangeResourceRecordSets` DNS-Namen haben, die mit „-beta.example.com“ enden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**Anmerkung**
Der IAM-Platzhalter ist nicht derselbe wie der Platzhalter für den Domänennamen. Im folgenden Beispiel wird gezeigt, wie der Platzhalter mit einem Domänennamen verwendet wird.
**Gewähren Sie Berechtigungen, die den Zugriff auf DNS-Einträge einschränken, die mit einem Domänennamen mit Platzhalter übereinstimmen**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `ChangeResourceRecordSets`-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Er benutzt den Bedingungsschlüssel `route53:ChangeResourceRecordSetsNormalizedRecordNames`, um Benutzeraktionen nur auf die Datensätze zu beschränken, die mit \$1.example.com übereinstimmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` ist der Oktalcode für das Zeichen \$1 im DNS-Namen und `\` in `\052` ist entkommen, um `\\` zu sein, um JSON-Syntax zu folgen.
**Berechtigungen erteilen, die den Zugriff auf bestimmte DNS-Einträge beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `ChangeResourceRecordSets`-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Verwendet die Kombination von drei Bedingungsschlüsseln, um Benutzeraktionen so zu beschränken, dass nur DNS-Einträge mit einem bestimmten DNS-Namen und -Typ erstellt oder bearbeitet werden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**Berechtigungen erteilen, die den Zugriff auf die Erstellung und Bearbeitung nur der angegebenen Typen von DNS-Einträgen beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `ChangeResourceRecordSets`-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Sie benutzt den Bedingungsschlüssel `route53:ChangeResourceRecordSetsRecordTypes`, um Benutzeraktionen nur auf die Datensätze zu beschränken, die den angegebenen Typen (A und AAAA) entsprechen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**Gewähren Sie Berechtigungen, die die VPC angeben, in der der IAM-Prinzipal arbeiten kann**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen,`AssociateVPCWithHostedZone`,`DisassociateVPCFromHostedZone`, `ListHostedZonesByVPC` `CreateHostedZone``CreateVPCAssociationAuthorization`, und `DeleteVPCAssociationAuthorization` Aktionen auf der durch die VPC-ID angegebenen VPC.
**Wichtig**
Der Bedingungswert muss das Format von haben. `VPCId=,VPCRegion=` Wenn Sie im Bedingungswert einen VPC-ARN angeben, wird der Bedingungsschlüssel nicht wirksam.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
**Wichtig**
Die `route53profiles` Bedingungsschlüssel sind überall verfügbar, AWS-Regionen wo Route 53 Route53Profiles verfügbar ist, mit Ausnahme von me-central-1 und me-south-1.
**Gewähren Sie Berechtigungen, die die Ressourcenzuweisung auf bestimmte Ressourcentypen in Route 53-Profilen beschränken**
Die folgende Berechtigungsrichtlinie gewährt nur dann Berechtigungen `AssociateResourceToProfile` und `DisassociateResourceFromProfile` Aktionen, wenn es sich bei dem Ressourcentyp um eine gehostete Zone handelt. Sie verwendet den `route53profiles:ResourceTypes` Bedingungsschlüssel, um die Ressourcentypen einzuschränken, die einem Profil zugeordnet werden können.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResourceTypes": "HostedZone"
}
}
}
```
**Gewähren Sie Berechtigungen, die die Ressourcenzuweisung auf bestimmte Ressourcen ARNs in Route 53-Profilen beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen `AssociateResourceToProfile` und `DisassociateResourceFromProfile` Aktionen nur für den angegebenen Ressourcen-ARN. Sie verwendet den `route53profiles:ResourceArns` Bedingungsschlüssel, um einzuschränken, welche Ressourcen einem Profil zugeordnet werden können.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"route53profiles:ResourceArns": "arn:aws:route53:::hostedzone/Z12345"
}
}
}
```
**Gewähren Sie Berechtigungen, die die Ressourcenzuweisung auf bestimmte Domänen in gehosteten Zonen in Route 53-Profilen beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `UpdateProfileResourceAssociation` Aktionen zulassen `AssociateResourceToProfile``DisassociateResourceFromProfile`, und nur dann, wenn die Domäne der gehosteten Zone dem angegebenen Wert entspricht. Sie verwendet den `route53profiles:HostedZoneDomains` Bedingungsschlüssel, um einzuschränken, welche Hosting-Zonendomänen einem Profil zugeordnet werden können.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:HostedZoneDomains": "example.com"
}
}
}
```
**Gewähren Sie Berechtigungen, die die Ressourcenzuweisung auf bestimmte Resolver-Regeldomänen in Route 53-Profilen beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `UpdateProfileResourceAssociation` Aktionen zulassen `AssociateResourceToProfile``DisassociateResourceFromProfile`, und nur dann, wenn die Resolver-Regeldomäne dem angegebenen Wert entspricht. Sie verwendet den `route53profiles:ResolverRuleDomains` Bedingungsschlüssel, um einzuschränken, welche Resolver-Regeldomänen einem Profil zugeordnet werden können.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResolverRuleDomains": "example.com"
}
}
}
```
**Gewähren Sie Berechtigungen, die die Zuordnung von Firewall-Regelgruppen auf einen bestimmten Prioritätsbereich in Route 53-Profilen beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die `UpdateProfileResourceAssociation` Aktionen zulassen `AssociateResourceToProfile``DisassociateResourceFromProfile`, und nur dann, wenn die Priorität der Firewall-Regelgruppe innerhalb des angegebenen Bereichs liegt. Sie verwendet den `route53profiles:FirewallRuleGroupPriority` Bedingungsschlüssel, um die Prioritätswerte einzuschränken, die verwendet werden können.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"NumericGreaterThanEquals": {
"route53profiles:FirewallRuleGroupPriority": "100"
}
}
}
```
**Erteilen Sie Berechtigungen, die die Profilzuweisung auf bestimmte Profile VPCs in Route 53 beschränken**
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen `AssociateProfile` und `DisassociateProfile` Aktionen nur für die angegebene VPC. Sie verwendet den `route53profiles:ResourceIds` Bedingungsschlüssel, um einzuschränken, VPCs wem ein Profil zugeordnet werden kann.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:DisassociateProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResourceIds": "vpc-1a2b3c4d5e6f"
}
}
}
```