Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Información general sobre la administración de los permisos de acceso a los recursos de Amazon Route 53
Cada AWS recurso es propiedad de una AWS cuenta y los permisos para crear un recurso o acceder a él se rigen por las políticas de permisos.
nota
Un administrador de la cuenta (o usuario administrador) es un usuario que cuenta con privilegios de administrador. Para obtener más información sobre los administradores, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.
Al conceder permisos, puede decidir a quién concederlos, los recursos para los que los concede y las acciones que se les permiten realizar.
Los usuarios necesitan acceso mediante programación si quieren interactuar con personas AWS ajenas a. AWS Management Console La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS
Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.
¿Qué usuario necesita acceso programático? | Para | Mediante |
---|---|---|
Identidad del personal (Los usuarios se administran en IAM Identity Center) |
Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs. |
Siga las instrucciones de la interfaz que desea utilizar:
|
IAM | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs. | Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del IAM usuario. |
IAM | (No recomendado) Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs. |
Siga las instrucciones de la interfaz que desea utilizar:
|
Temas
ARNspara los recursos de Amazon Route 53
Amazon Route 53 admite diversos tipos de recursos para la DNS comprobación del estado y el registro de dominios. En una política, puede conceder o denegar el acceso a los siguientes recursos mediante *
ARN:
-
Comprobaciones de estado
-
Zonas alojadas
-
Conjuntos de delegación reutilizables
-
Estado de un lote de cambios de conjunto de registros de recursos (APIúnicamente)
-
Políticas de tráfico (flujo de tráfico)
-
Instancias de políticas de tráfico (flujo de tráfico)
No todos los recursos de Route 53 admiten permisos. No se puede conceder ni denegar el acceso a los siguientes recursos:
-
Dominios
-
Registros individuales
-
Etiquetas de dominios
-
Etiquetas de comprobaciones de estado
-
Etiquetas de zonas hospedadas
Route 53 proporciona API acciones para trabajar con cada uno de estos tipos de recursos. Para obtener más información, consulte la APIreferencia de Amazon Route 53. Para obtener una lista de las acciones y las ARN que especifique para conceder o denegar el permiso de uso de cada acción, consulteAPIPermisos de Amazon Route 53: referencia de acciones, recursos y condiciones.
Titularidad de los recursos
Una AWS cuenta es propietaria de los recursos que se crean en ella, independientemente de quién los haya creado. En concreto, el propietario del recurso es la AWS cuenta de la entidad principal (es decir, la cuenta raíz o un IAM rol) que autentica la solicitud de creación del recurso.
Los siguientes ejemplos ilustran cómo funciona:
-
Si utilizas las credenciales de la cuenta raíz de tu AWS cuenta para crear una zona alojada, tu AWS cuenta es la propietaria del recurso.
-
Si crea un usuario en su AWS cuenta y concede permisos para crear una zona alojada a ese usuario, el usuario podrá crear una zona alojada. No obstante, su cuenta de AWS , a la que pertenece el usuario, es la propietaria del recurso de la zona alojada.
-
Si crea un IAM rol en su AWS cuenta con permisos para crear una zona alojada, cualquier persona que pueda asumir el rol podrá crear una zona alojada. Tu AWS cuenta, a la que pertenece el rol, es propietaria del recurso de la zona alojada.
Administración del acceso a los recursos de
Una política de permisos especifica quién tiene acceso a qué. En esta sección se explican las opciones para crear políticas de permisos para Amazon Route 53. Para obtener información general sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia de AWS IAM políticas en la Guía del IAM usuario.
Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. Route 53 solo admite políticas basadas en la identidad (políticas). IAM
Políticas basadas en la identidad (políticas) IAM
Puede adjuntar políticas a las identidades. IAM Por ejemplo, puede hacer lo siguiente:
-
Adjuntar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos para crear recursos de Amazon Route 53.
-
Adjuntar una política de permisos a un rol (conceder permisos entre cuentas): puede conceder permiso para realizar acciones de Route 53 a un usuario creado por otra AWS cuenta. Para ello, debe adjuntar una política de permisos a un IAM rol y, a continuación, permitir que el usuario de la otra cuenta asuma el rol. En el siguiente ejemplo se explica cómo este proceso funciona para dos cuentas, A y B, de AWS :
-
Cuenta Un administrador crea un IAM rol y le asigna una política de permisos que otorga permisos para crear o acceder a los recursos que son propiedad de la cuenta A.
-
El administrador de la cuenta A asocia una política de confianza al rol. La política de confianza identifica la cuenta B como la entidad principal, que puede asumir el rol.
-
El administrador de la cuenta B puede entonces delegar permisos para asumir el rol a usuarios o grupos de la cuenta B. Esto permite a los usuarios de la cuenta B crear u obtener acceso a recursos de la cuenta A.
Para obtener más información sobre cómo delegar permisos a los usuarios de otra AWS cuenta, consulte Gestión del acceso en la Guía del IAM usuario.
-
La siguiente política de ejemplo permite a un usuario realizar la acción CreateHostedZone
a fin de crear una zona alojada pública para cualquier cuenta de AWS :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone" ], "Resource":"*" } ] }
Si desea que la política también se aplique a las zonas alojadas privadas, debe conceder permisos para usar la AssociateVPCWithHostedZone
acción de Route 53 y dos EC2 acciones de Amazon DescribeVpcs
yDescribeRegion
, como se muestra en el siguiente ejemplo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53:AssociateVPCWithHostedZone" ], "Resource":"*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRegion" ], "Resource":"*" }, ] }
Para obtener más información acerca de cómo adjuntar políticas a identidades de Route 53, consulte Uso de políticas basadas en la identidad (IAMpolíticas) para Amazon Route 53. Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAM usuario.
Políticas basadas en recursos
Otros servicios, como Amazon S3, permiten también adjuntar políticas de permisos a recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. Amazon Route 53 no admite adjuntar políticas a recursos.
Especificar elementos de políticas: recursos, acciones, efectos y entidades principales
Amazon Route 53 incluye API acciones (consulte la APIreferencia de Amazon Route 53) que puede usar en cada recurso de Route 53 (consulteARNspara los recursos de Amazon Route 53). Puede conceder a un usuario o un usuario federado permisos para realizar alguna de estas acciones o todas ellas. Tenga en cuenta que algunas API acciones, como registrar un dominio, requieren permisos para realizar más de una acción.
A continuación, se indican los elementos básicos de la política:
-
Recurso: utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte ARNspara los recursos de Amazon Route 53.
-
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento
Effect
especificado, el permisoroute53:CreateHostedZone
permite o deniega a un usuario la capacidad de realizar la acciónCreateHostedZone
de Route 53. -
Efecto: especifique el efecto (permitir o denegar) cuando un usuario intente realizar la acción en el recurso especificado. Si no concede acceso de forma explícita a una acción, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
-
Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está vinculada la política es el principal implícito. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). Route 53 no admite políticas basadas en recursos.
Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia de AWS IAM políticas en la Guía del IAM usuario.
Para ver una de tablas que muestre todas API las operaciones de Route 53 y los recursos a los que se aplican, consulteAPIPermisos de Amazon Route 53: referencia de acciones, recursos y condiciones.
Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la IAM política para especificar cuándo debe entrar en vigor una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte los elementos de la IAM JSON política: condición en la Guía del IAM usuario.
Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para Route 53. Sin embargo, hay claves de condición AWS amplias que puede utilizar según sea necesario. Para obtener una lista completa de las teclas AWS anchas, consulte las teclas disponibles para conocer las condiciones en la Guía del IAM usuario.