Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management en Amazon Route 53
Para realizar cualquier operación en los recursos de Amazon Route 53, como registrar un dominio o actualizar un registro, AWS Identity and Access Management (IAM) requiere que autentiques que eres un usuario aprobado AWS . Si está utilizando la consola de Route 53, debe autenticar su identidad proporcionando su nombre de usuario y contraseña de AWS .
Tras autenticar su identidad, IAM controla su acceso AWS comprobando que tiene permisos para realizar operaciones y acceder a los recursos. Si es un administrador de la cuenta, puede utilizar IAM para controlar el acceso de otros usuarios a los recursos que están asociados a dicha cuenta.
En este capítulo se explica cómo utilizar [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) y Route 53 para ayudar a proteger sus recursos.
**Topics**
+ [Autenticación con identidades](#security_iam_authentication)
+ [Control de acceso](#access-control)
+ [Información general sobre la administración de los permisos de acceso a los recursos de Amazon Route 53](access-control-overview.md)
+ [Uso de políticas basadas en identidad (políticas de IAM) para Amazon Route 53](access-control-managing-permissions.md)
+ [Uso de roles vinculados a servicios para Amazon Route 53 Resolver](using-service-linked-roles.md)
+ [AWS políticas gestionadas para Amazon Route 53](security-iam-awsmanpol-route53.md)
+ [Uso de condiciones de las políticas de IAM para control de acceso preciso](specifying-conditions-route53.md)
+ [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md)
## Autenticación con identidades
La autenticación es la forma de iniciar sesión AWS con sus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Control de acceso
Para crear, actualizar, eliminar o enumerar recursos de Amazon Route 53, necesita permiso para realizar la operación y obtener acceso a los recursos correspondientes.
En las secciones siguientes, se describe cómo administrar los permisos de Route 53. Recomendamos que lea primero la información general.
**Topics**
# Información general sobre la administración de los permisos de acceso a los recursos de Amazon Route 53
Cada AWS recurso es propiedad de una AWS cuenta y los permisos para crear un recurso o acceder a él se rigen por las políticas de permisos.
**nota**
Un *administrador de la cuenta* (o usuario administrador) es un usuario que cuenta con privilegios de administrador. Para obtener más información acerca de los administradores, consulte [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
Al conceder permisos, puede decidir a quién concederlos, los recursos para los que los concede y las acciones que se les permiten realizar.
Los usuarios necesitan acceso programático si quieren interactuar con personas AWS ajenas a. Consola de administración de AWS La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS
Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.
****
| ¿Qué usuario necesita acceso programático? | Para | Mediante |
| --- | --- | --- |
| IAM | (Recomendado) Utilice las credenciales de la consola como credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/access-control-overview.html) |
| Identidad del personal (Usuarios administrados en el IAM Identity Center) | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs. | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de [Uso de credenciales temporales con AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) de la Guía del usuario de IAM. |
| IAM | (No recomendado)Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [ARNs para los recursos de Amazon Route 53](#access-control-resources)
+ [Titularidad de los recursos](#access-control-owner)
+ [Administración del acceso a los recursos](#access-control-manage-access-intro)
+ [Especificar elementos de políticas: recursos, acciones, efectos y entidades principales](#access-control-specify-r53-actions)
+ [Especificación de las condiciones de una política](#specifying-conditions)
## ARNs para los recursos de Amazon Route 53
Amazon Route 53 admite una serie de tipos de recursos para DNS, comprobación de estado y registro de dominios. En una política, puede conceder o denegar el acceso a los siguientes recursos utilizando `*` para el ARN:
+ Comprobaciones de estado
+ Zonas alojadas
+ Conjuntos de delegación reutilizables
+ Estado de un lote de cambios del conjunto de registros de recursos (solo API)
+ Políticas de tráfico (flujo de tráfico)
+ Instancias de políticas de tráfico (flujo de tráfico)
No todos los recursos de Route 53 admiten permisos. No se puede conceder ni denegar el acceso a los siguientes recursos:
+ Dominios
+ Registros individuales
+ Etiquetas de dominios
+ Etiquetas de comprobaciones de estado
+ Etiquetas de zonas hospedadas
Route 53 ofrece acciones de la API para trabajar con cada uno de estos tipos de recursos. Para obtener más información, consulte la [referencia de API de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/). Para consultar una lista de acciones y el ARN a especificar para conceder o denegar permisos para ejecutar cada acción, visite [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
## Titularidad de los recursos
Una AWS cuenta es propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es la AWS cuenta de la entidad principal (es decir, la cuenta raíz o un rol de IAM) que autentica la solicitud de creación del recurso.
Los siguientes ejemplos ilustran cómo funciona:
+ Si utilizas las credenciales de la cuenta raíz de tu AWS cuenta para crear una zona alojada, tu AWS cuenta es la propietaria del recurso.
+ Si crea un usuario en su AWS cuenta y concede permisos para crear una zona alojada a ese usuario, el usuario podrá crear una zona alojada. No obstante, su cuenta de AWS , a la que pertenece el usuario, es la propietaria del recurso de la zona alojada.
+ Si crea un rol de IAM en su AWS cuenta con permisos para crear una zona alojada, cualquier persona que pueda asumir el rol podrá crear una zona alojada. Su AWS cuenta, a la que pertenece el rol, es propietaria del recurso de la zona alojada.
## Administración del acceso a los recursos
Una *política de permisos* especifica quién tiene acceso a qué. En esta sección se explican las opciones para crear políticas de permisos para Amazon Route 53. Para obtener más información sobre la sintaxis y las descripciones de la política de IAM, consulte la [Referencia de política de IAM de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)en la *Guía del usuario de IAM*.
Las políticas adjuntadas a una identidad de IAM se denominan políticas *basadas en identidad* (políticas de IAM) y las políticas adjuntadas a un recurso se denominan políticas *basadas en recursos*. Route 53 solo admite políticas basadas en identidad (políticas de IAM).
**Topics**
+ [Políticas basadas en identidades (políticas de IAM)](#access-control-manage-access-intro-iam-policies)
+ [Políticas basadas en recursos](#access-control-manage-access-intro-resource-policies)
### Políticas basadas en identidades (políticas de IAM)
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
+ **Adjuntar una política de permisos a un usuario o grupo de su cuenta**: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos para crear recursos de Amazon Route 53.
+ **Adjunte una política de permisos a un rol (otorgue permisos para varias cuentas)**: puede conceder permiso para realizar acciones de Route 53 a un usuario creado por otra AWS cuenta. Para ello, asocie una política de permisos a un rol de IAM y, a continuación, permita al usuario de la otra cuenta asumir el rol. En el siguiente ejemplo se explica cómo este proceso funciona para dos cuentas, A y B, de AWS :
1. El administrador de la cuenta A crea un rol de IAM y asocia a dicho rol una política que concede permisos de creación o acceso a recursos propiedad de la cuenta A.
1. El administrador de la cuenta A asocia una política de confianza al rol. La política de confianza identifica la cuenta B como la entidad principal, que puede asumir el rol.
1. El administrador de la cuenta B puede entonces delegar permisos para asumir el rol a usuarios o grupos de la cuenta B. Esto permite a los usuarios de la cuenta B crear u obtener acceso a recursos de la cuenta A.
Para obtener más información sobre cómo delegar permisos a los usuarios de otra AWS cuenta, consulte [Gestión del acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la Guía del *usuario de IAM*.
La siguiente política de ejemplo permite a un usuario realizar la acción `CreateHostedZone` a fin de crear una zona alojada pública para cualquier cuenta de AWS :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
Si desea que la política también se aplique a las zonas alojadas privadas, debe conceder permisos para utilizar la acción `AssociateVPCWithHostedZone` de Route 53 y dos acciones de Amazon EC2, `DescribeVpcs` y `DescribeRegion`, tal y como se muestra en el ejemplo siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información acerca de cómo adjuntar políticas a identidades de Route 53, consulte [Uso de políticas basadas en identidad (políticas de IAM) para Amazon Route 53](access-control-managing-permissions.md). Para obtener más información acerca de los usuarios, los grupos, los roles y los permisos, consulte [Identidades (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Otros servicios, como Amazon S3, permiten también adjuntar políticas de permisos a recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. Amazon Route 53 no admite adjuntar políticas a recursos.
## Especificar elementos de políticas: recursos, acciones, efectos y entidades principales
Amazon Route 53 incluye acciones de API (consulte la [Referencia de la API de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/)) que puede usar en cada recurso de Route 53 (consulte [ARNs para los recursos de Amazon Route 53](#access-control-resources)). Puede conceder a un usuario o un usuario federado permisos para realizar alguna de estas acciones o todas ellas. Tenga en cuenta que algunas acciones de la API, como el registro de un dominio, requieren permisos para realizar más de una acción.
A continuación, se indican los elementos básicos de la política:
+ **Recurso**: use un Nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte [ARNs para los recursos de Amazon Route 53](#access-control-resources).
+ **Acción**: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento `Effect` especificado, el permiso `route53:CreateHostedZone` permite o deniega a un usuario la capacidad de realizar la acción `CreateHostedZone` de Route 53.
+ **Efecto**: especifique el efecto (permitir o denegar) cuando un usuario intente realizar la acción en el recurso especificado. Si no concede acceso de forma explícita a una acción, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
+ **Entidad principal**: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). Route 53 no admite políticas basadas en recursos.
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte la [Referencia de políticas de IAM de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
Para ver una de tabla con todas las operaciones de la API de Route 53 y los recursos a los que se aplican, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
## Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información acerca de cómo especificar condiciones en un lenguaje de la política, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para Route 53. Sin embargo, hay claves de condición AWS amplias que puede utilizar según sea necesario. Para obtener una lista completa de las teclas AWS anchas, consulte [las claves disponibles para las condiciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) en la *Guía del usuario de IAM*.
# Uso de políticas basadas en identidad (políticas de IAM) para Amazon Route 53
En este tema se ofrecen ejemplos de políticas basadas en identidad que muestran cómo un administrador de una cuenta puede adjuntar políticas de permisos a identidades de IAM y, de ese modo, conceder permisos para realizar operaciones en recursos de Amazon Route 53.
**importante**
Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de Route 53. Para obtener más información, consulte [Información general sobre la administración de los permisos de acceso a los recursos de Amazon Route 53](access-control-overview.md).
**nota**
Al conceder acceso, la zona alojada y Amazon VPC deben pertenecer a la misma partición. Una partición es un grupo de Regiones de AWS. Cada una Cuenta de AWS tiene el alcance de una partición.
Las siguientes son las particiones admitidas:
`aws` - Regiones de AWS
`aws-cn` - Regiones de China
`aws-us-gov` - AWS GovCloud (US) Region
Para obtener más información, consulte [Administración de acceso](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) y [puntos de conexión y cuotas de Amazon Route 53](https://docs.aws.amazon.com/general/latest/gr/r53.html) en la *Referencia general de AWS *.
**Topics**
+ [Permisos necesarios para usar la consola de Amazon Route 53](#console-required-permissions)
+ [Permisos de ejemplo para el propietario de un registro de dominio](#example-permissions-record-owner)
+ [Permisos de clave administrados por el cliente de Route 53 necesarios para firmar DNSSEC](#KMS-key-policy-for-DNSSEC)
+ [Ejemplos de políticas administradas por el cliente](#access-policy-examples-for-sdk-cli)
El ejemplo siguiente muestra una política de permisos. El `Sid` o ID de instrucción es opcional:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AllowPublicHostedZonePermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:UpdateHostedZoneComment",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:DeleteHostedZone",
"route53:ChangeResourceRecordSets",
"route53:ListResourceRecordSets",
"route53:GetHostedZoneCount",
"route53:ListHostedZonesByName"
],
"Resource": "*"
},
{
"Sid" : "AllowHealthCheckPermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:GetHealthCheck",
"route53:ListHealthChecks",
"route53:DeleteHealthCheck",
"route53:GetCheckerIpRanges",
"route53:GetHealthCheckCount",
"route53:GetHealthCheckStatus",
"route53:GetHealthCheckLastFailureReason"
],
"Resource": "*"
}
]
}
```
------
La política incluye dos instrucciones:
+ La primera instrucción concede permisos para las acciones necesarias para crear y administrar zonas hospedadas públicas y sus registros. El carácter comodín (\$1) del nombre del recurso de Amazon (ARN) permite el acceso a todas las zonas alojadas que son propiedad de la AWS cuenta corriente.
+ La segunda instrucción concede permisos para todas las acciones necesarias para crear y administrar comprobaciones de estado.
Para consultar una lista de acciones y el ARN a especificar para conceder o denegar permisos para ejecutar cada acción, visite [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
## Permisos necesarios para usar la consola de Amazon Route 53
Para conceder acceso total a la consola de Amazon Route 53, debe conceder los permisos en la siguiente política de permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:*",
"route53domains:*",
"tag:*",
"ssm:GetParametersByPath",
"cloudfront:ListDistributions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"sns:CreateTopic",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateKey",
"kms:CreateAlias",
"kms:Sign",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
Aquí se explica por qué son necesarios los permisos:
**`route53:*`**
Le permite realizar todas las acciones de Route 53 *salvo* las siguientes:
+ Cree y actualice registros de alias para los que el valor de **Alias Target** sea una CloudFront distribución, un balanceador de cargas de Elastic Load Balancing, un entorno de Elastic Beanstalk o un bucket de Amazon S3. (Con estos permisos, puede crear registros de alias en los que el valor de **Alias Target** (Destino del alias) es otro registro de la misma zona alojada).
+ Trabajar con zonas alojadas privadas.
+ Trabajar con dominios.
+ Cree, elimine y visualice las alarmas. CloudWatch
+ Renderice CloudWatch las métricas en la consola de Route 53.
**`route53domains:*`**
Le permite trabajar con dominios.
Si muestra las acciones de `route53` individualmente, debe incluir `route53:CreateHostedZone` para trabajar con dominios. Al registrar un dominio, se crea una zona alojada al mismo tiempo, por lo que una política que incluya permisos para registrar dominios también requiere permiso para crear zonas alojadas.
Para el registro de dominios, Route 53 no permite conceder o denegar permisos a recursos específicos.
**`route53resolver:*`**
Le permite trabajar con Route 53 VPC Resolver.
**`ssm:GetParametersByPath`**
Le permite buscar regiones disponibles públicamente cuando crean nuevos registros de alias, zonas alojadas privadas y comprobaciones de estado.
**`cloudfront:ListDistributions`**
Permite crear y actualizar registros de alias para los que el valor de **Alias Target** es una CloudFront distribución.
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener la lista de distribuciones que muestra en la consola.
**`elasticloadbalancing:DescribeLoadBalancers`**
Le permite crear y actualizar registros de alias en los que el valor de **Alias Target** (Destino del alias) es un balanceador de carga de ELB.
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener la lista de balanceadores de carga que muestra en la consola.
**`elasticbeanstalk:DescribeEnvironments`**
Le permite crear y actualizar registros de alias en los que el valor de **Alias Target** (Destino del alias) es un entorno de Elastic Beanstalk.
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener la lista de entornos que muestra en la consola.
**`s3:ListAllMyBuckets`, `s3:GetBucketLocation`, y `s3:GetBucketWebsite`**
Le permite crear y actualizar registros de alias en los que el valor de **Alias Target** (Destino del alias) es un bucket de Amazon S3. (Puede crear un alias para un bucket de Amazon S3 solo si el bucket está configurado como el punto de conexión de un sitio web; `s3:GetBucketWebsite` obtiene la información de configuración necesaria).
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener la lista de buckets que muestra en la consola.
**`ec2:DescribeVpcs` y `ec2:DescribeRegions`**
Le permite trabajar con zonas hospedadas privadas.
**Todos los permisos de `ec2` mostrados**
Le permite trabajar con Route 53 VPC Resolver.
**`sns:ListTopics`, `sns:ListSubscriptionsByTopic`, `sns:CreateTopic`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms`**
Le permite crear, eliminar y ver CloudWatch las alarmas.
**`cloudwatch:GetMetricStatistics`**
Le permite crear controles de estado CloudWatch métricos.
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener las estadísticas que muestra en la consola.
**`apigateway:GET`**
Le permite crear y actualizar registros de alias en los que el valor de **Alias Target** (Destino del alias) es una API de Amazon API Gateway.
Este permiso no es necesario si no está utilizando la consola de Route 53. Route 53 solo lo usa para obtener una lista APIs que se mostrará en la consola.
**`kms:*`**
Le permite trabajar con él AWS KMS para habilitar la firma de DNSSEC.
## Permisos de ejemplo para el propietario de un registro de dominio
Con los permisos de conjuntos de registros de recursos, puede establecer permisos granulares que limiten lo que el AWS usuario puede actualizar o modificar. Para obtener más información, consulte [Uso de condiciones de las políticas de IAM para control de acceso preciso](specifying-conditions-route53.md).
En algunos casos, el propietario de una zona alojada podría ser el responsable de la administración general de la misma, mientras que otra persona de la organización es responsable de un subconjunto de esas tareas. El propietario de una zona alojada que haya habilitado la firma con DNSSEC, por ejemplo, podría querer crear una política de IAM que incluya el permiso para que otra persona añada y elimine registros del conjunto de recursos (RRs) en la zona alojada, entre otras tareas. Los permisos específicos que el propietario de una zona alojada elija habilitar para un propietario de registro u otras personas dependerán de la política de su organización.
A continuación, se muestra un ejemplo de política de IAM que permite al propietario de un registro realizar modificaciones en las políticas de tráfico y realizar RRs comprobaciones de estado. El propietario de un registro con esta política no puede realizar operaciones de nivel de zona, tales como crear o eliminar una zona, activar o desactivar el registro de consultas, crear o eliminar un conjunto de delegación reutilizable o cambiar la configuración de DNSSEC.
```
{
"Sid": "Do not allow zone-level modification ",
"Effect": "Allow",
"Action": [
"route53:ChangeResourceRecordSets",
"route53:CreateTrafficPolicy",
"route53:DeleteTrafficPolicy",
"route53:CreateTrafficPolicyInstance",
"route53:CreateTrafficPolicyVersion",
"route53:UpdateTrafficPolicyInstance",
"route53:UpdateTrafficPolicyComment",
"route53:DeleteTrafficPolicyInstance",
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck",
"route53:List*",
"route53:Get*"
],
"Resource": [
"*"
]
}
```
## Permisos de clave administrados por el cliente de Route 53 necesarios para firmar DNSSEC
Al habilitar la firma DNSSEC para Route 53, Route 53 crea una clave de firma de claves (KSK) basada en una clave administrada por el cliente en (). AWS Key Management Service AWS KMS Puede usar una clave administrada por el cliente que admita la firma DNSSEC o crear una. Route 53 debe tener permiso para acceder a la clave administrada por el cliente a fin de que pueda crear la KSK automáticamente.
Para permitir que Route 53 acceda a la clave administrada por el cliente, asegúrese de que la política de clave administrada por el cliente incluya las siguientes instrucciones:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:DescribeKey",
"kms:GetPublicKey",
"kms:Sign"],
"Resource": "*"
},
{
"Sid": "Allow Route 53 DNSSEC to CreateGrant",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:CreateGrant"],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
```
El problema del suplente confuso es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. Para protegerse AWS KMS de ello, si lo desea, puede limitar los permisos que un servicio tiene a un recurso en una política basada en recursos proporcionando una combinación de condiciones `aws:SourceAccount` y `aws:SourceArn` (ambas o una). `aws:SourceAccount`es el identificador de AWS cuenta del propietario de una zona alojada. `aws:SourceArn`es un ARN de una zona alojada.
A continuación se muestran dos ejemplos de permisos que puede agregar:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/HOSTED_ZONE_ID"
}
}
},
```
- O -
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["1111-2222-3333","4444-5555-6666"]
},
"ArnLike": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/*"
}
}
},
```
Para obtener más información, consulte [El problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) en la *Guía del usuario de IAM*.
## Ejemplos de políticas administradas por el cliente
Puede crear sus propias políticas de IAM personalizadas con el fin de conceder permisos para realizar acciones de Route 53. Puede asociar estas políticas personalizadas a los grupos de IAM que requieran los permisos especificados. Estas políticas funcionan cuando se utiliza la API de Route 53 AWS SDKs, la o la AWS CLI. A continuación se muestran algunos ejemplos de permisos para algunos casos de uso comunes. Para ver la política que concede a un usuario acceso total a Route 53, consulte [Permisos necesarios para usar la consola de Amazon Route 53](#console-required-permissions).
**Topics**
+ [Ejemplo 1: Permitir acceso de lectura a todas las zonas hospedadas](#access-policy-example-allow-read-hosted-zones)
+ [Ejemplo 2: Permitir la creación y eliminación de zonas hospedadas](#access-policy-example-allow-create-delete-hosted-zones)
+ [Ejemplo 3: Permitir acceso completo a todos los dominios (solo zonas hospedadas públicas)](#access-policy-example-allow-full-domain-access)
+ [Ejemplo 4: Permitir la creación de puntos finales de VPC Resolver de Route 53 entrantes y salientes](#access-policy-example-create-resolver-endpoints)
### Ejemplo 1: Permitir acceso de lectura a todas las zonas hospedadas
La siguiente política de permisos concede al usuario permisos para mostrar todas las zonas hospedadas y ver todos los registros de una zona alojada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:GetHostedZone",
"route53:ListResourceRecordSets"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:ListHostedZones"],
"Resource":"*"
}
]
}
```
------
### Ejemplo 2: Permitir la creación y eliminación de zonas hospedadas
La siguiente política de permisos permite a los usuarios crear y eliminar zonas hospedadas, así como realizar un seguimiento del progreso del cambio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["route53:CreateHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:DeleteHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:GetChange"],
"Resource":"*"
}
]
}
```
------
### Ejemplo 3: Permitir acceso completo a todos los dominios (solo zonas hospedadas públicas)
La siguiente política de permisos permite a los usuarios realizar todas las acciones en los registros de dominios, incluidos los permisos para registrar dominios y crear zonas hospedadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53domains:*",
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
Al registrar un dominio, se crea una zona alojada al mismo tiempo, por lo que una política que incluya permisos para registrar dominios también requiere permisos para crear zonas alojadas. (Para el registro de dominios, Route 53 no permite conceder permisos a recursos específicos).
Para obtener información sobre los permisos necesarios para trabajar con zonas hospedadas, consulte [Permisos necesarios para usar la consola de Amazon Route 53](#console-required-permissions).
### Ejemplo 4: Permitir la creación de puntos finales de VPC Resolver de Route 53 entrantes y salientes
La siguiente política de permisos permite a los usuarios utilizar la consola de Route 53 para crear puntos de enlace de entrada y salida de Resolver.
Algunos de estos permisos solo son necesarios para crear puntos de enlace en la consola. Puede omitir estos permisos si desea conceder permisos solo para crear puntos de enlace de entrada y salida mediante programación:
+ `route53resolver:ListResolverEndpoints` permite a los usuarios ver la lista de puntos de enlace de entrada o salida para que puedan verificar que se ha creado un puntos de conexión.
+ `DescribeAvailabilityZones` es necesario para mostrar una lista de zonas de disponibilidad.
+ `DescribeVpcs`es necesario para mostrar una lista de. VPCs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53resolver:CreateResolverEndpoint",
"route53resolver:ListResolverEndpoints",
"ec2:CreateNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# Uso de roles vinculados a servicios para Amazon Route 53 Resolver
[El solucionador de VPC de Route 53 utiliza funciones vinculadas al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a VPC Resolver. VPC Resolver predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Una función vinculada a un servicio facilita la configuración de VPC Resolver, ya que no es necesario añadir manualmente los permisos necesarios. VPC Resolver define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo VPC Resolver puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos relacionados. Esto protege sus recursos de VPC Resolver porque no puede eliminar el permiso de acceso a los recursos de forma inadvertida.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Permisos de roles vinculados a servicios para VPC Resolver](#slr-permissions)
+ [Creación de un rol vinculado a un servicio para el solucionador de VPC](#create-slr)
+ [Edición de un rol vinculado a un servicio para VPC Resolver](#edit-slr)
+ [Eliminar un rol vinculado a un servicio para el solucionador de VPC](#delete-slr)
+ [Regiones compatibles con las funciones vinculadas al servicio de resolución de VPC](#slr-regions)
## Permisos de roles vinculados a servicios para VPC Resolver
VPC Resolver utiliza la función **`AWSServiceRoleForRoute53Resolver`**vinculada al servicio para entregar los registros de consultas en su nombre.
La política de permisos de roles permite a VPC Resolver realizar las siguientes acciones en sus recursos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups",
"s3:GetBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado a un servicio para el solucionador de VPC
No necesita crear manualmente un rol vinculado a servicios. Al crear una asociación de configuración del registro de consultas de resolución en la consola, la o la AWS CLI AWS API de Amazon Route 53, VPC Resolver crea el rol vinculado al servicio por usted.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio VPC Resolver antes del 12 de agosto de 2020, cuando comenzó a admitir funciones vinculadas a servicios, VPC Resolver creó la función en su cuenta. `AWSServiceRoleForRoute53Resolver` Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una asociación de configuración del registro de consultas de Resolver, el rol vinculado a un servicio `AWSServiceRoleForRoute53Resolver` se crea de nuevo automáticamente.
## Edición de un rol vinculado a un servicio para VPC Resolver
El solucionador de VPC no permite editar el rol vinculado al `AWSServiceRoleForRoute53Resolver` servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para el solucionador de VPC
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio de resolución de VPC utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de VPC Resolver utilizados por el `AWSServiceRoleForRoute53Resolver`**
1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Expanda el menú de la consola de Route 53. En la esquina superior izquierda de la consola, elija el icono de las tres barras horizontales (![\[Menu icon\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. En el menú **Resolver**, elija **Registro de consultas**.
1. Seleccione la casilla de verificación situada junto al nombre de la configuración del registro de consultas y, a continuación, elija **Delete** (Eliminar).
1. En el cuadro de texto **Delete query logging configuration** (Eliminar la configuración del registro de consultas), seleccione **Stop logging queries** (Detener el registro de consultas).
Esto desasociará la configuración de la VPC. También puede desasociar la configuración del registro de consultas mediante programación. Para obtener más información, consulte [disassociate-resolver-query-log-config](https://docs.aws.amazon.com//cli/latest/reference/route53resolver/disassociate-resolver-query-log-config.html).
1. Después de que las consultas de registro se hayan detenido, de forma opcional puede escribir **delete** en el campo y elegir **Delete** (Eliminar) para eliminar la configuración del registro de consultas. No obstante, esta acción no es necesaria para eliminar los recursos que utiliza `AWSServiceRoleForRoute53Resolver`.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al `AWSServiceRoleForRoute53Resolver` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con las funciones vinculadas al servicio de resolución de VPC
VPC Resolver no admite el uso de funciones vinculadas a servicios en todas las regiones en las que el servicio está disponible. Puede usar el rol `AWSServiceRoleForRoute53Resolver` en las siguientes regiones.
****
| Nombre de la región | Identidad de la región | Support en VPC Resolver |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| China (Pekín) | cn-north-1 | Sí |
| China (Ningxia) | cn-northwest-1 | Sí |
| AWS GovCloud (US) | us-gov-east-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | Sí |
# AWS políticas gestionadas para Amazon Route 53
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AmazonRoute 53 FullAccess
Puede asociar la política `AmazonRoute53FullAccess` a las identidades de IAM.
Esta política otorga acceso total a los recursos de Route 53, incluidos el registro de dominios y la comprobación del estado, pero excluye VPC Resolver.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `route53:*`: le permite realizar todas las acciones de Route 53, *salvo* las siguientes:
+ Cree y actualice registros de alias para los que el valor de **Alias Target** sea una CloudFront distribución, un balanceador de cargas de Elastic Load Balancing, un entorno de Elastic Beanstalk o un bucket de Amazon S3. (Con estos permisos, puede crear registros de alias en los que el valor de **Alias Target** (Destino del alias) es otro registro de la misma zona alojada).
+ Trabajar con zonas alojadas privadas.
+ Trabajar con dominios.
+ Cree, elimine y visualice las alarmas. CloudWatch
+ Renderice CloudWatch las métricas en la consola de Route 53.
+ `route53domains:*`: le permite trabajar con dominios.
+ `cloudfront:ListDistributions`— Permite crear y actualizar registros de alias para los que el valor de **Alias Target** es una CloudFront distribución.
Este permiso no es necesario si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener la lista de distribuciones que muestra en la consola.
+ `cloudfront:GetDistributionTenantByDomain`— Se utiliza para buscar las distribuciones de CloudFront varios usuarios, lo que permite crear y actualizar registros de alias para los que el valor de Alias **Target** es un CloudFront arrendatario de distribución.
+ `cloudfront:GetConnectionGroup`**— Se utiliza para buscar las distribuciones de CloudFront varios inquilinos y así poder crear y actualizar registros de alias para los que el valor de Alias Target es un arrendatario de distribución.** CloudFront
+ `cloudwatch:DescribeAlarms`— Junto con `sns:ListTopics` y`sns:ListSubscriptionsByTopic`, permite crear, eliminar y ver las alarmas. CloudWatch
+ `cloudwatch:GetMetricStatistics`— Permite crear controles de estado CloudWatch métricos.
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener las estadísticas que muestra en la consola.
+ `cloudwatch:GetMetricData`— Le permite mostrar el estado de las métricas de sus controles de CloudWatch estado.
+ `ec2:DescribeVpcs`— Le permite mostrar una lista de VPCs.
+ `ec2:DescribeVpcEndpoints`: le permite mostrar una lista de puntos de enlace de VPC.
+ `ec2:DescribeRegions`: le permite mostrar una lista de zonas de disponibilidad.
+ `elasticloadbalancing:DescribeLoadBalancers`: le permite crear y actualizar registros de alias en los que el valor de **Alias Target** (Destino del alias) es un balanceador de carga de Elastic Load Balancing.
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener la lista de balanceadores de carga que muestra en la consola.
+ `elasticbeanstalk:DescribeEnvironments`: le permite crear y actualizar registros de alias en los que el valor de **Alias Target** (Destino del alias) es un entorno de Elastic Beanstalk.
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener la lista de entornos que muestra en la consola.
+ `es:ListDomainNames`— Te permite mostrar los nombres de todos los dominios de Amazon OpenSearch Service que son propiedad del usuario actual en la región activa.
+ `es:DescribeDomains`— Le permite obtener la configuración de dominio para los dominios de Amazon OpenSearch Service especificados.
+ `lightsail:GetContainerServices`— Le permite utilizar los servicios de contenedores de Lightsail para crear y actualizar registros de alias para los que el valor de Alias Target es un dominio **de** Lightsail.
+ `s3:ListBucket`, `s3:GetBucketLocation` y `s3:GetBucketWebsite`: le permiten crear y actualizar registros de alias en los que el valor de **Alias Target** (Destino del alias) es un bucket de Amazon S3. (Puede crear un alias para un bucket de Amazon S3 solo si el bucket está configurado como el punto de conexión de un sitio web; `s3:GetBucketWebsite` obtiene la información de configuración necesaria).
Estos permisos no son necesarios si no está utilizando la consola de Route 53. Route 53 solo lo utiliza para obtener la lista de buckets que se van a mostrar en la consola.
+ `sns:ListTopics`,`sns:ListSubscriptionsByTopic`, `cloudwatch:DescribeAlarms` — Le permiten crear, eliminar y ver las alarmas. CloudWatch
+ `tag:GetResources`: le permite mostrar las etiquetas de sus recursos. Por ejemplo, los nombres de sus comprobaciones de estado.
+ `apigateway:GET`: le permite crear y actualizar registros de alias en los que el valor de **Alias Target** (Destino del alias) es una API de Amazon API Gateway.
Para obtener más información acerca de los permisos, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS política gestionada: AmazonRoute 53 ReadOnlyAccess
Puede asociar la política `AmazonRoute53ReadOnlyAccess` a las identidades de IAM.
Esta política otorga acceso de solo lectura a los recursos de Route 53, incluidos el registro de dominios y la comprobación del estado, pero excluye VPC Resolver.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `route53:Get*`: obtiene los recursos de Route 53.
+ `route53:List*`: muestra los recursos de Route 53.
+ `route53:TestDNSAnswer`: obtiene el valor que Route 53 devuelve como respuesta a una solicitud de DNS.
Para obtener más información acerca de los permisos, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política administrada: 53 AmazonRoute DomainsFullAccess
Puede asociar la política `AmazonRoute53DomainsFullAccess` a las identidades de IAM.
Esta política concede acceso completo a los recursos de registro de dominios de Route 53.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `route53:CreateHostedZone`: le permite crear una zona alojada de Route 53.
+ `route53domains:*`: le permite registrar nombres de dominio y realizar operaciones relacionadas.
Para obtener más información acerca de los permisos, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gestionada: AmazonRoute 53 DomainsReadOnlyAccess
Puede asociar la política `AmazonRoute53DomainsReadOnlyAccess` a las identidades de IAM.
Esta política concede acceso de solo lectura a los recursos de registro de dominios de Route 53.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `route53domains:Get*`: le permite recuperar una lista de dominios de Route 53.
+ `route53domains:List*`: le permite mostrar una lista de dominios de Route 53.
Para obtener más información acerca de los permisos, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gestionada: AmazonRoute 53 ResolverFullAccess
Puede asociar la política `AmazonRoute53ResolverFullAccess` a las identidades de IAM.
Esta política otorga acceso total a los recursos de VPC Resolver de Route 53.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `route53resolver:*`— Le permite crear y administrar los recursos de VPC Resolver en la consola de Route 53.
+ `ec2:DescribeSubnets`: le permite mostrar una lista de las subredes de Amazon VPC.
+ `ec2:CreateNetworkInterface`,`ec2:DeleteNetworkInterface`, y `ec2:ModifyNetworkInterfaceAttribute`: le permiten crear, modificar y eliminar interfaces de red.
+ `ec2:DescribeNetworkInterfaces`: le permite mostrar una lista de interfaces de red.
+ `ec2:DescribeSecurityGroups`: le permite mostrar una lista de todos los grupos de seguridad.
+ `ec2:DescribeVpcs`— Permite mostrar una lista de VPCs.
+ `ec2:DescribeAvailabilityZones`: le permite mostrar una lista de las zonas que hay disponibles.
Para obtener más información acerca de los permisos, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gestionada: AmazonRoute 53 ResolverReadOnlyAccess
Puede asociar la política `AmazonRoute53ResolverReadOnlyAccess` a las identidades de IAM.
Esta política otorga acceso de solo lectura a los recursos de VPC Resolver de Route 53.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `route53resolver:Get*`— Obtiene los recursos de VPC Resolver.
+ `route53resolver:List*`— Le permite mostrar una lista de recursos de VPC Resolver.
+ `ec2:DescribeNetworkInterfaces`: le permite mostrar una lista de interfaces de red.
+ `ec2:DescribeSecurityGroups`: le permite mostrar una lista de todos los grupos de seguridad.
Para obtener más información sobre los permisos, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gestionada: Route53 ResolverServiceRolePolicy
No puede asociar `Route53ResolverServiceRolePolicy` a sus entidades IAM. Esta política se adjunta a una función vinculada a un servicio que permite a Route 53 VPC Resolver acceder a los AWS servicios y recursos que VPC Resolver utiliza o administra. Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon Route 53 Resolver](using-service-linked-roles.md).
## AWS política administrada: 53 AmazonRoute ProfilesFullAccess
Puede asociar la política `AmazonRoute53ProfilesReadOnlyAccess` a las identidades de IAM.
Esta política concede acceso completo a los recursos de perfil de Amazon Route 53.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `route53profiles`: le permite crear y administrar recursos de perfil en la consola de Route 53.
+ `ec2`— Permite a los directores obtener información sobre VPCs.
Para obtener más información acerca de los permisos, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gestionada: 53 AmazonRoute ProfilesReadOnlyAccess
Puede asociar la política `AmazonRoute53ProfilesReadOnlyAccess` a las identidades de IAM.
Esta política concede acceso de solo lectura a los recursos de perfil de Amazon Route 53.
**Detalles de los permisos**
Para obtener más información acerca de los permisos, consulte [Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## Route 53 actualiza las políticas AWS gestionadas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas de Route 53 desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la [página de historial de documentos](History.md) de Route 53.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — Política actualizada | Agrega permisos para `cloudwatch:GetMetricData` ,`tag:GetResources`, `es:ListDomainNames`, `es:DescribeDomains`, `cloudfront:GetDistributionTenantByDomain`, `cloudfront:GetConnectionGroup` y `lightsail:GetContainerServices`. Estos permisos le permiten obtener hasta 500 métricas de chequeos de CloudWatch estado, hasta 100 nombres de chequeos de estado, obtener la configuración de dominio para los dominios de Amazon OpenSearch Service especificados y enumerar los nombres de todos los dominios de Amazon OpenSearch Service propiedad del usuario actual en la región activa, obtener las distribuciones CloudFront multiusuario y obtener los servicios de contenedores de Lightsail. | 1 de junio de 2025 |
| [AmazonRoute53 ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) — Política actualizada | Agrega permisos para `GetProfilePolicy` y `PutProfilePolicy`. Estas son acciones de IAM solo de permiso. Si a un director de IAM no se le conceden estos permisos, se producirá un error al intentar compartir el perfil mediante el AWS RAM servicio. | 27 de agosto de 2024 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — Política actualizada | Agrega permisos para `GetProfilePolicy`. Esta es una acción de IAM que solo requiere permisos. Si a un director de IAM no se le ha concedido este permiso, se producirá un error al intentar acceder a la política del perfil mediante el AWS RAM servicio. | 27 de agosto de 2024 |
| [AmazonRoute53 ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) — Política actualizada | Se agregó un ID de instrucción (Sid) para identificar, de forma exclusiva, la política. | 5 de agosto de 2024 |
| [AmazonRoute53 ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) — Política actualizada | Se agregó un ID de instrucción (Sid) para identificar, de forma exclusiva, la política. | 5 de agosto de 2024 |
| [AmazonRoute53 — Nueva política ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) | Amazon Route 53 agregó una nueva política para permitir acceso completo a los recursos de perfil de Amazon Route 53. | 22 de abril de 2024 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — Nueva política | Amazon Route 53 agregó una nueva política para permitir acceso de solo lectura a los recursos de perfil de Amazon Route 53. | 22 de abril de 2024 |
| [Ruta 53 ResolverServiceRolePolicy — Nueva](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) política | Amazon Route 53 agregó una nueva política asociada a un rol vinculado a un servicio que permite a VPC Resolver acceder a los AWS servicios y recursos que Resolver utiliza o administra. | 14 de julio de 2021 |
| [AmazonRoute53 — Nueva política ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) | Amazon Route 53 agregó una nueva política para permitir el acceso de solo lectura a los recursos de VPC Resolver. | 14 de julio de 2021 |
| [AmazonRoute53 — Nueva política ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) | Amazon Route 53 agregó una nueva política para permitir el acceso total a los recursos de VPC Resolver. | 14 de julio de 2021 |
| [AmazonRoute53 DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) — Nueva política | Amazon Route 53 agregó una nueva política para permitir acceso de solo lectura a los recursos de dominios de Route 53. | 14 de julio de 2021 |
| [AmazonRoute53 DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) — Nueva política | Amazon Route 53 agregó una nueva política para permitir acceso completo a los recursos de dominios de Route 53. | 14 de julio de 2021 |
| [AmazonRoute53 ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) — Nueva política | Amazon Route 53 agregó una nueva política para permitir acceso de solo lectura a los recursos de Route 53. | 14 de julio de 2021 |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — Nueva política | Amazon Route 53 agregó una nueva política para permitir acceso completo a los recursos de Route 53. | 14 de julio de 2021 |
| Route 53 comenzó el seguimiento de los cambios | Route 53 comenzó a rastrear los cambios en sus políticas AWS administradas. | 14 de julio de 2021 |
# Uso de condiciones de las políticas de IAM para control de acceso preciso
En Route 53, puede especificar las condiciones al conceder permisos utilizando la política de IAM (consulte [Control de acceso](security-iam.md#access-control)). Por ejemplo, puede hacer lo siguiente:
+ Conceda permisos para permitir el acceso a un único conjunto de registros de recursos.
+ Conceda permisos para que los usuarios puedan acceder a todos los conjuntos de registros de recursos de un tipo de registro de DNS específico en una zona alojada, por ejemplo, los registros A y AAAA.
+ Conceda permisos para que los usuarios puedan acceder a un conjunto de registros de recursos en el que su nombre contenga una cadena específica.
+ Otorgue permisos para que los usuarios puedan realizar solo un subconjunto de `CREATE | UPSERT | DELETE` las acciones en la consola de Route 53 o cuando usen la API. [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html)
+ Otorgue permisos para permitir a los usuarios asociar o disociar zonas alojadas privadas de una VPC determinada.
+ Otorgue permisos para permitir a los usuarios enumerar las zonas alojadas asociadas a una VPC determinada.
+ Otorgue permisos para permitir a los usuarios acceder a crear una nueva zona alojada privada y asociarla a una VPC determinada.
+ Otorgue permisos para permitir a los usuarios crear o eliminar una autorización de asociación de VPC.
También puede crear permisos que combinen cualquiera de los permisos granulares.
## Normalización de los valores clave de la condición de Route 53
Los valores que ingrese para las condiciones de la política deben formatearse o normalizarse de la siguiente manera:
**Para `route53:ChangeResourceRecordSetsNormalizedRecordNames`:**
+ Todas las letras deben estar en minúsculas.
+ El nombre de DNS debe estar sin el punto final.
+ Los caracteres que no sean a-z, 0-9, - (guion), \$1 (guion bajo) y . (punto, como delimitador entre etiquetas) deben utilizar códigos de escape con el formato \$1código octal de tres dígitos. Por ejemplo, `\052 ` es el código octal del carácter \$1.
**Para `route53:ChangeResourceRecordSetsActions`, el valor puede ser cualquiera de los siguientes y debe estar en mayúscula:**
+ CREATE
+ UPSERT
+ DELETE
**Para `route53:ChangeResourceRecordSetsRecordTypes`**:
+ El valor debe estar en mayúsculas y puede ser cualquiera de los tipos de registro de DNS compatibles con Route 53. Para obtener más información, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).
**Para `route53:VPCs`:**
+ El formato del valor debe ser `VPCId=,VPCRegion=`.
+ El valor de `` y `` debe expresarse en letras minúsculas, como `VPCId=vpc-123abc` y `VPCRegion=us-east-1`.
+ Las claves de contexto y los valores distinguen entre mayúsculas y minúsculas.
**importante**
Para que sus permisos permitan o restrinjan las acciones que quiera, debe seguir estas convenciones. Esta clave de condición solo `VPCId` acepta los `VPCRegion` elementos; por ejemplo, no se admiten otros AWS recursos. Cuenta de AWS
Puede utilizar [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) o [Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) de la *Guía del usuario de IAM* para validar que la política conceda o restrinja los permisos según lo previsto. Para validar los permisos, también puede aplicar una política de IAM a un usuario o rol de prueba para llevar a cabo las operaciones de Route 53.
## Especificación de condiciones: uso de claves de condición
AWS proporciona un conjunto de claves de condición AWS predefinidas (claves de condición generales) para todos los AWS servicios que admiten la IAM para el control de acceso. Por ejemplo, puede usar la clave de condición `aws:SourceIp` para comprobar la dirección IP del solicitante antes de permitir que se lleve a cabo cualquier acción. Para obtener más información y una lista con las claves generales de AWS, consulte [Available Keys for Conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) (Claves disponibles para las condiciones) en la *Guía del usuario de IAM*.
**nota**
Route 53 no admite claves de condición basadas en etiquetas.
En la siguiente tabla se muestran las claves de condición específicas del servicio Route 53 que se aplican a Route 53.
****
| Clave de condición de Route 53 | Operaciones de la API | Tipo de valor | Description (Descripción) |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalor | Representa una lista de nombres de registros DNS incluidos en la solicitud de. ChangeResourceRecordSets Para obtener el comportamiento esperado, los nombres de DNS de la política de IAM se deben normalizar de la siguiente manera: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalor | Representa una lista de tipos de registros de DNS en la solicitud de `ChangeResourceRecordSets`. `ChangeResourceRecordSetsRecordTypes` puede ser cualquiera de los tipos de registros de DNS compatibles con Route 53. Para obtener más información, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md). En la política, todo se debe escribir en mayúsculas. |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalor | Representa una lista de acciones en la solicitud de `ChangeResourceRecordSets`. `ChangeResourceRecordSetsActions` puede ser cualquiera de los siguientes valores (debe estar en mayúscula): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [Asociado VPCWith HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [Disociar VPCFrom HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [Crear autorización VPCAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [Eliminar VPCAssociation autorización](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | Multivalor | Representa una lista de VPCs en la solicitud de AssociateVPCWithHostedZoneDisassociateVPCFromHostedZone,ListHostedZonesByVPC,CreateHostedZone,CreateVPCAssociationAuthorization, yDeleteVPCAssociationAuthorization, con el formato de "VPCId=, VPCRegion = |
## Ejemplos de políticas: uso de condiciones para el acceso preciso
Cada uno de los ejemplos de esta sección establece en la cláusula Effect el valor Allow y especifica solamente las acciones, los recursos y los parámetros que se permiten. Únicamente se permite el acceso a aquello que se indica explícitamente en la política de IAM.
En algunos casos, se pueden modificar estas políticas de tal forma que se basen en la denegación (en cuyo caso, se establecería la cláusula Effect en Allow y se invertiría toda la lógica de la política). Sin embargo, recomendamos evitar el uso de políticas basadas en la denegación, ya que son difíciles de escribir correctamente en comparación con las políticas basadas el permiso. Esto es especialmente cierto para Route 53 debido a la normalización del texto que se requiere.
**Concesión de permisos que limitan el acceso a los registros de DNS con nombres específicos**
La siguiente política de permisos otorga permisos que permiten acciones de `ChangeResourceRecordSets` en la zona alojada Z12345 para ejemplo.com. y marketing.ejemplo.com. Utiliza la clave de condición `route53:ChangeResourceRecordSetsNormalizedRecordNames` para limitar las acciones del usuario solo en los registros que coincidan con los nombres especificados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` es un operador de condición de IAM que se aplica a claves con varios valores. La condición de la política anterior permitirá la operación solo cuando todos los cambios en `ChangeResourceRecordSets` tengan el nombre de DNS example.com. Para obtener más información, consulte [IAM condition operators](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) (Operadores de condición de IAM) y [IAM condition with multiple keys or values](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) (Condición de IAM con varias claves o valores) en la Guía del usuario de IAM.
Para implementar el permiso que hace coincidir nombres con ciertos sufijos, puede usar el comodín de IAM (\$1) en la política con el operador de condición `StringLike` o `StringNotLike`. La siguiente política permitirá la operación cuando todos los cambios en la operación `ChangeResourceRecordSets` tengan nombres de DNS que terminen en “-beta.example.com”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**nota**
El comodín de IAM no es el mismo que el comodín del nombre de dominio. Consulte el siguiente ejemplo para saber cómo utilizar el comodín con un nombre de dominio.
**Concesión de permisos que limiten el acceso a los registros de DNS que coincidan con un nombre de dominio que tenga un comodín**
La siguiente política de permisos concede permisos que autorizan acciones `ChangeResourceRecordSets` en la zona alojada Z12345 para example.com. Utiliza la clave de condición `route53:ChangeResourceRecordSetsNormalizedRecordNames` para limitar las acciones del usuario solo a los registros que coincidan con \$1.example.com.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` es el código octal del carácter \$1 del nombre de DNS, y `\` en `\052` es un carácter de escape que significa `\\` para seguir la sintaxis JSON.
**Concesión de permisos que limiten el acceso a los registros de DNS específicos**
La siguiente política de permisos concede permisos que autorizan acciones `ChangeResourceRecordSets` en la zona alojada Z12345 para example.com. Utiliza la combinación de tres claves de condición para limitar las acciones del usuario y permitir solo la creación o edición de registros de DNS con un nombre y un tipo de DNS determinados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**Concesión de permisos que limiten el acceso a la creación y edición solo de los tipos de registros de DNS especificados**
La siguiente política de permisos concede permisos que autorizan acciones `ChangeResourceRecordSets` en la zona alojada Z12345 para example.com. Utiliza la clave de condición `route53:ChangeResourceRecordSetsRecordTypes` para limitar las acciones del usuario solo en los registros que coincidan con los tipos especificados (A y AAAA).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**Otorgamiento de permisos que especifiquen la VPC en la que la entidad principal de IAM puede operar**
La siguiente política de permisos otorga permisos que permiten acciones `AssociateVPCWithHostedZone`, `DisassociateVPCFromHostedZone`, `ListHostedZonesByVPC`, `CreateHostedZone`, `CreateVPCAssociationAuthorization` y `DeleteVPCAssociationAuthorization` en la VPC especificada por el vpc-id.
**importante**
El formato del valor de condición debe ser `VPCId=,VPCRegion=`. Si especifica un ARN de VPC en el valor de condición, la clave de condición no surtirá efecto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
# Permisos de la API de Amazon Route 53: referencia de acciones, recursos y condiciones
*Al configurar [Control de acceso](security-iam.md#access-control) y redactar una política de permisos que pueda adjuntar a una identidad de IAM (políticas basadas en la identidad), puede utilizar las listas de acciones, recursos y claves de condición para [Route 53, acciones, recursos y claves de condición para](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html) los [dominios de Route 53, acciones, recursos y claves de condición para](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53domains.html) [VPC Resolver, y las claves de condición](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html)[, recursos y acciones para los perfiles de Amazon Route 53 permiten compartir la configuración de DNS con VPCs](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53profilesenablessharingdnssettingswithvpcs.html) la referencia de autorización de servicio.* Las páginas incluyen cada acción de la API de Amazon Route 53, las acciones a las que debe conceder permisos de acceso y el AWS recurso al que debe conceder acceso. Las acciones se especifican en el campo `Action` de la política y el valor del recurso se especifica en el campo `Resource` de la política.
Puede usar claves AWS de condición generales en sus políticas de Route 53 para expresar las condiciones. Para obtener una lista completa de las claves AWS anchas, consulta las [claves disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) en la Guía del usuario de *IAM*.
**nota**
Al conceder acceso, la zona alojada y Amazon VPC deben pertenecer a la misma partición. Una partición es un grupo de. Regiones de AWS Cada una Cuenta de AWS tiene el alcance de una partición.
Las siguientes son las particiones admitidas:
`aws` - Regiones de AWS
`aws-cn` - Regiones de China
`aws-us-gov` - AWS GovCloud (US) Region
Para obtener más información, consulte [Administración de acceso](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la *Referencia general de AWS *.
**nota**
Para especificar una acción, use el prefijo correspondiente (`route53`, `route53domains` o `route53resolver`) seguido del nombre de operación de API, por ejemplo:
`route53:CreateHostedZone`
`route53domains:RegisterDomain`
`route53resolver:CreateResolverEndpoint`