Información general sobre la administración de los permisos de acceso a los recursos de Amazon Route 53 - Amazon Route 53

Información general sobre la administración de los permisos de acceso a los recursos de Amazon Route 53

Cada recurso de AWS es propiedad de una cuenta de AWS, y los permisos para crear o tener acceso a un recurso se rigen por las políticas de permisos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario que cuenta con privilegios de administrador. Para obtener más información acerca de los administradores, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Al conceder permisos, puede decidir a quién concederlos, los recursos para los que los concede y las acciones que se les permiten realizar.

Los usuarios necesitan acceso programático si desean interactuar con AWS fuera de la AWS Management Console. La forma de conceder el acceso programático depende del tipo de usuario que acceda a AWS.

Para conceder acceso programático a los usuarios, seleccione una de las siguientes opciones.

¿Qué usuario necesita acceso programático? Para Mediante

Identidad del personal

(Usuarios administrados en el IAM Identity Center)

Utilice credenciales temporales para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK y las API de AWS.

Siga las instrucciones de la interfaz que desea utilizar:

IAM Utilice credenciales temporales para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK y las API de AWS. Siguiendo las instrucciones de Uso de credenciales temporales con recursos de AWS de la Guía del usuario de IAM.
IAM

(No recomendado)

Utilizar credenciales a largo plazo para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK o las API de AWS.

Siga las instrucciones de la interfaz que desea utilizar:

ARN para recursos de Amazon Route 53

Amazon Route 53 admite una serie de tipos de recursos para DNS, comprobación de estado y registro de dominios. En una política, puede conceder o denegar el acceso a los siguientes recursos utilizando * para el ARN:

  • Comprobaciones de estado

  • Zonas alojadas

  • Conjuntos de delegación reutilizables

  • Estado de un lote de cambios del conjunto de registros de recursos (solo API)

  • Políticas de tráfico (flujo de tráfico)

  • Instancias de políticas de tráfico (flujo de tráfico)

No todos los recursos de Route 53 admiten permisos. No se puede conceder ni denegar el acceso a los siguientes recursos:

  • Dominios

  • Registros individuales

  • Etiquetas de dominios

  • Etiquetas de comprobaciones de estado

  • Etiquetas de zonas hospedadas

Route 53 ofrece acciones de la API para trabajar con cada uno de estos tipos de recursos. Para obtener más información, consulte la referencia de API de Amazon Route 53. Para consultar una lista de acciones y el ARN a especificar para conceder o denegar permisos para ejecutar cada acción, visite Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones.

Titularidad de los recursos

La cuenta de AWS es la propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario de los recursos es la cuenta de AWS es la identidad principal (es decir, la cuenta raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos.

Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear una zona alojada, su cuenta de AWS será la propietaria del recurso.

  • Si crea un usuario en su cuenta de AWS y concede permisos para crear una zona alojada para ese usuario, el usuario puede crear una zona alojada. No obstante, su cuenta de AWS, a la que pertenece el usuario, es la propietaria del recurso de la zona alojada.

  • Si crea un rol de IAM en su cuenta de AWS con permisos para crear una zona alojada, cualquier persona que pueda asumir el rol podrá crear una zona alojada. Su cuenta de AWS, a la que pertenece el rol, es la propietaria del recurso de la zona alojada.

Administración del acceso a los recursos de

Una política de permisos especifica quién tiene acceso a qué. En esta sección se explican las opciones para crear políticas de permisos para Amazon Route 53. Para obtener más información sobre la sintaxis y las descripciones de la política de IAM, consulte la Referencia de política de IAM de AWSen la Guía del usuario de IAM.

Las políticas adjuntadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM) y las políticas adjuntadas a un recurso se denominan políticas basadas en recursos. Route 53 solo admite políticas basadas en identidad (políticas de IAM).

Políticas basadas en identidades (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

  • Adjuntar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos para crear recursos de Amazon Route 53.

  • Adjuntar una política de permisos a un rol (conceder permisos entre cuentas): puede conceder permisos para realizar acciones de Route 53 a un usuario que haya sido creado en otra cuenta de AWS. Para ello, asocie una política de permisos a un rol de IAM y, a continuación, permita al usuario de la otra cuenta asumir el rol. En el siguiente ejemplo se explica cómo este proceso funciona para dos cuentas, A y B, de AWS:

    1. El administrador de la cuenta A crea un rol de IAM y asocia a dicho rol una política que concede permisos de creación o acceso a recursos propiedad de la cuenta A.

    2. El administrador de la cuenta A asocia una política de confianza al rol. La política de confianza identifica la cuenta B como la entidad principal, que puede asumir el rol.

    3. El administrador de la cuenta B puede entonces delegar permisos para asumir el rol a usuarios o grupos de la cuenta B. Esto permite a los usuarios de la cuenta B crear u obtener acceso a recursos de la cuenta A.

    Para obtener más información sobre cómo delegar permisos a usuarios en otra cuenta de AWS, consulte Administración de acceso en la Guía del usuario de IAM.

La siguiente política de ejemplo permite a un usuario realizar la acción CreateHostedZone a fin de crear una zona alojada pública para cualquier cuenta de AWS:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone" ], "Resource":"*" } ] }

Si desea que la política también se aplique a las zonas alojadas privadas, debe conceder permisos para utilizar la acción AssociateVPCWithHostedZone de Route 53 y dos acciones de Amazon EC2, DescribeVpcs y DescribeRegion, tal y como se muestra en el ejemplo siguiente:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53:AssociateVPCWithHostedZone" ], "Resource":"*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRegion" ], "Resource":"*" }, ] }

Para obtener más información acerca de cómo adjuntar políticas a identidades de Route 53, consulte Uso de políticas basadas en identidad (políticas de IAM) para Amazon Route 53. Para obtener más información acerca de los usuarios, los grupos, los roles y los permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas basadas en recursos

Otros servicios, como Amazon S3, permiten también adjuntar políticas de permisos a recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. Amazon Route 53 no admite adjuntar políticas a recursos. 

Especificar elementos de políticas: recursos, acciones, efectos y entidades principales

Amazon Route 53 incluye acciones de API (consulte la Referencia de la API de Amazon Route 53) que puede usar en cada recurso de Route 53 (consulte ARN para recursos de Amazon Route 53). Puede conceder a un usuario o un usuario federado permisos para realizar alguna de estas acciones o todas ellas. Tenga en cuenta que algunas acciones de la API, como el registro de un dominio, requieren permisos para realizar más de una acción.

A continuación, se indican los elementos básicos de la política:

  • Recurso: use un Nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte ARN para recursos de Amazon Route 53.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento Effect especificado, el permiso route53:CreateHostedZone permite o deniega a un usuario la capacidad de realizar la acción CreateHostedZone de Route 53.

  • Efecto: especifique el efecto (permitir o denegar) cuando un usuario intente realizar la acción en el recurso especificado. Si no concede acceso de forma explícita a una acción, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). Route 53 no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte la Referencia de políticas de IAM de AWS en la Guía del usuario de IAM.

Para ver una de tabla con todas las operaciones de la API de Route 53 y los recursos a los que se aplican, consulte Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información acerca de cómo especificar condiciones en un lenguaje de la política, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.

Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para Route 53. No obstante, existen claves de condición que se aplican a todo AWS que puede utilizar cuando sea necesario. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para las condiciones en la Guía del usuario de IAM.