ARNspara los recursos de Amazon Route 53 Titularidad de los recursos Administración del acceso a los recursos de Especificar elementos de políticas: recursos, acciones, efectos y entidades principales Especificación de las condiciones de una política

Información general sobre la administración de los permisos de acceso a los recursos de Amazon Route 53

Cada AWS recurso es propiedad de una AWS cuenta y los permisos para crear un recurso o acceder a él se rigen por las políticas de permisos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario que cuenta con privilegios de administrador. Para obtener más información sobre los administradores, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

Al conceder permisos, puede decidir a quién concederlos, los recursos para los que los concede y las acciones que se les permiten realizar.

Los usuarios necesitan acceso mediante programación si quieren interactuar con personas AWS ajenas a. AWS Management Console La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.


¿Qué usuario necesita acceso programático?	Para	Mediante
Identidad del personal (Los usuarios se administran en IAM Identity Center)	Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs.	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Configuración del AWS CLI uso AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario. Para AWS SDKs ver las herramientas y AWS APIs, consulte la autenticación de IAM Identity Center en la Guía de referencia de herramientas AWS SDKs y herramientas.
IAM	Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs.	Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del IAM usuario.
IAM	(No recomendado) Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs.	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Autenticación con credenciales IAM de usuario en la Guía del AWS Command Line Interface usuario. Para obtener AWS SDKs información sobre las herramientas, consulte Autenticarse con credenciales de larga duración en la Guía de referencia de herramientas AWS SDKs y herramientas. Para ello AWS APIs, consulte Administrar las claves de acceso de IAM los usuarios en la Guía del IAM usuario.

Temas

ARNspara los recursos de Amazon Route 53
Titularidad de los recursos
Administración del acceso a los recursos de
Especificar elementos de políticas: recursos, acciones, efectos y entidades principales
Especificación de las condiciones de una política

ARNspara los recursos de Amazon Route 53

Amazon Route 53 admite diversos tipos de recursos para la DNS comprobación del estado y el registro de dominios. En una política, puede conceder o denegar el acceso a los siguientes recursos mediante *ARN:

Comprobaciones de estado
Zonas alojadas
Conjuntos de delegación reutilizables
Estado de un lote de cambios de conjunto de registros de recursos (APIúnicamente)
Políticas de tráfico (flujo de tráfico)
Instancias de políticas de tráfico (flujo de tráfico)

No todos los recursos de Route 53 admiten permisos. No se puede conceder ni denegar el acceso a los siguientes recursos:

Dominios
Registros individuales
Etiquetas de dominios
Etiquetas de comprobaciones de estado
Etiquetas de zonas hospedadas

Route 53 proporciona API acciones para trabajar con cada uno de estos tipos de recursos. Para obtener más información, consulte la APIreferencia de Amazon Route 53. Para obtener una lista de las acciones y las ARN que especifique para conceder o denegar el permiso de uso de cada acción, consulteAPIPermisos de Amazon Route 53: referencia de acciones, recursos y condiciones.

Titularidad de los recursos

Una AWS cuenta es propietaria de los recursos que se crean en ella, independientemente de quién los haya creado. En concreto, el propietario del recurso es la AWS cuenta de la entidad principal (es decir, la cuenta raíz o un IAM rol) que autentica la solicitud de creación del recurso.

Los siguientes ejemplos ilustran cómo funciona:

Si utilizas las credenciales de la cuenta raíz de tu AWS cuenta para crear una zona alojada, tu AWS cuenta es la propietaria del recurso.
Si crea un usuario en su AWS cuenta y concede permisos para crear una zona alojada a ese usuario, el usuario podrá crear una zona alojada. No obstante, su cuenta de AWS , a la que pertenece el usuario, es la propietaria del recurso de la zona alojada.
Si crea un IAM rol en su AWS cuenta con permisos para crear una zona alojada, cualquier persona que pueda asumir el rol podrá crear una zona alojada. Tu AWS cuenta, a la que pertenece el rol, es propietaria del recurso de la zona alojada.

Administración del acceso a los recursos de

Una política de permisos especifica quién tiene acceso a qué. En esta sección se explican las opciones para crear políticas de permisos para Amazon Route 53. Para obtener información general sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia de AWS IAM políticas en la Guía del IAM usuario.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. Route 53 solo admite políticas basadas en la identidad (políticas). IAM

Temas

Políticas basadas en la identidad (políticas) IAM
Políticas basadas en recursos

Políticas basadas en la identidad (políticas) IAM

Puede adjuntar políticas a las identidades. IAM Por ejemplo, puede hacer lo siguiente:

Adjuntar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos para crear recursos de Amazon Route 53.
Adjuntar una política de permisos a un rol (conceder permisos entre cuentas): puede conceder permiso para realizar acciones de Route 53 a un usuario creado por otra AWS cuenta. Para ello, debe adjuntar una política de permisos a un IAM rol y, a continuación, permitir que el usuario de la otra cuenta asuma el rol. En el siguiente ejemplo se explica cómo este proceso funciona para dos cuentas, A y B, de AWS :
1. Cuenta Un administrador crea un IAM rol y le asigna una política de permisos que otorga permisos para crear o acceder a los recursos que son propiedad de la cuenta A.
2. El administrador de la cuenta A asocia una política de confianza al rol. La política de confianza identifica la cuenta B como la entidad principal, que puede asumir el rol.
3. El administrador de la cuenta B puede entonces delegar permisos para asumir el rol a usuarios o grupos de la cuenta B. Esto permite a los usuarios de la cuenta B crear u obtener acceso a recursos de la cuenta A.
Para obtener más información sobre cómo delegar permisos a los usuarios de otra AWS cuenta, consulte Gestión del acceso en la Guía del IAM usuario.

La siguiente política de ejemplo permite a un usuario realizar la acción CreateHostedZone a fin de crear una zona alojada pública para cualquier cuenta de AWS :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Si desea que la política también se aplique a las zonas alojadas privadas, debe conceder permisos para usar la AssociateVPCWithHostedZone acción de Route 53 y dos EC2 acciones de Amazon DescribeVpcs yDescribeRegion, como se muestra en el siguiente ejemplo:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Para obtener más información acerca de cómo adjuntar políticas a identidades de Route 53, consulte Uso de políticas basadas en la identidad (IAMpolíticas) para Amazon Route 53. Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAM usuario.

Políticas basadas en recursos

Otros servicios, como Amazon S3, permiten también adjuntar políticas de permisos a recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. Amazon Route 53 no admite adjuntar políticas a recursos.

Especificar elementos de políticas: recursos, acciones, efectos y entidades principales

Amazon Route 53 incluye API acciones (consulte la APIreferencia de Amazon Route 53) que puede usar en cada recurso de Route 53 (consulteARNspara los recursos de Amazon Route 53). Puede conceder a un usuario o un usuario federado permisos para realizar alguna de estas acciones o todas ellas. Tenga en cuenta que algunas API acciones, como registrar un dominio, requieren permisos para realizar más de una acción.

A continuación, se indican los elementos básicos de la política:

Recurso: utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte ARNspara los recursos de Amazon Route 53.
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento Effect especificado, el permiso route53:CreateHostedZone permite o deniega a un usuario la capacidad de realizar la acción CreateHostedZone de Route 53.
Efecto: especifique el efecto (permitir o denegar) cuando un usuario intente realizar la acción en el recurso especificado. Si no concede acceso de forma explícita a una acción, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está vinculada la política es el principal implícito. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). Route 53 no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia de AWS IAM políticas en la Guía del IAM usuario.

Para ver una de tablas que muestre todas API las operaciones de Route 53 y los recursos a los que se aplican, consulteAPIPermisos de Amazon Route 53: referencia de acciones, recursos y condiciones.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la IAM política para especificar cuándo debe entrar en vigor una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte los elementos de la IAM JSON política: condición en la Guía del IAM usuario.

Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para Route 53. Sin embargo, hay claves de condición AWS amplias que puede utilizar según sea necesario. Para obtener una lista completa de las teclas AWS anchas, consulte las teclas disponibles para conocer las condiciones en la Guía del IAM usuario.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de identidades y accesos

Uso de IAM políticas para Route 53