Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de condiciones de las políticas de IAM para control de acceso preciso
En Route 53, puede especificar las condiciones al conceder permisos utilizando la política de IAM (consulte [Control de acceso](security-iam.md#access-control)). Por ejemplo, puede hacer lo siguiente:
+ Conceda permisos para permitir el acceso a un único conjunto de registros de recursos.
+ Conceda permisos para que los usuarios puedan acceder a todos los conjuntos de registros de recursos de un tipo de registro de DNS específico en una zona alojada, por ejemplo, los registros A y AAAA.
+ Conceda permisos para que los usuarios puedan acceder a un conjunto de registros de recursos en el que su nombre contenga una cadena específica.
+ Otorgue permisos para que los usuarios puedan realizar solo un subconjunto de `CREATE | UPSERT | DELETE` las acciones en la consola de Route 53 o cuando usen la API. [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html)
+ Otorgue permisos para permitir a los usuarios asociar o disociar zonas alojadas privadas de una VPC determinada.
+ Otorgue permisos para permitir a los usuarios enumerar las zonas alojadas asociadas a una VPC determinada.
+ Otorgue permisos para permitir a los usuarios acceder a crear una nueva zona alojada privada y asociarla a una VPC determinada.
+ Otorgue permisos para permitir a los usuarios crear o eliminar una autorización de asociación de VPC.
+ Otorgue permisos para permitir a los usuarios administrar (associate/disassociate/update) solo tipos de recursos específicos con un perfil de Route 53.
+ Otorgue permisos para permitir a los usuarios administrar (associate/disassociate/update) solo un recurso específico ARNs con un perfil de Route 53.
+ Otorgue permisos para permitir a los usuarios administrar (associate/disassociate/update) solo dominios de zonas alojadas específicos con un perfil de Route 53.
+ Otorgue permisos para permitir a los usuarios administrar (associate/disassociate/update) solo dominios específicos de Resolver Rule con un perfil de Route 53.
+ Otorgue permisos para permitir a los usuarios administrar (associate/disassociate/update) grupos de reglas de firewall con un rango de prioridad específico en un perfil de Route 53.
+ Otorgue permisos que permitan a los usuarios administrar (asociar/desasociar) un perfil de Route 53 con un perfil específico. VPCs
También puede crear permisos que combinen cualquiera de los permisos granulares.
## Normalización de los valores clave de la condición de Route 53
Los valores que ingrese para las condiciones de la política deben formatearse o normalizarse de la siguiente manera:
**Para `route53:ChangeResourceRecordSetsNormalizedRecordNames`:**
+ Todas las letras deben estar en minúsculas.
+ El nombre de DNS debe estar sin el punto final.
+ Los caracteres que no sean a-z, 0-9, - (guion), \$1 (guion bajo) y . (punto, como delimitador entre etiquetas) deben utilizar códigos de escape con el formato \$1código octal de tres dígitos. Por ejemplo, `\052 ` es el código octal del carácter \$1.
**Para `route53:ChangeResourceRecordSetsActions`, el valor puede ser cualquiera de los siguientes y debe estar en mayúscula:**
+ CREATE
+ UPSERT
+ DELETE
**Para `route53:ChangeResourceRecordSetsRecordTypes`**:
+ El valor debe estar en mayúsculas y puede ser cualquiera de los tipos de registro de DNS compatibles con Route 53. Para obtener más información, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md).
**Para `route53:VPCs`:**
+ El formato del valor debe ser `VPCId=,VPCRegion=`.
+ El valor de `` y `` debe expresarse en letras minúsculas, como `VPCId=vpc-123abc` y `VPCRegion=us-east-1`.
+ Las claves de contexto y los valores distinguen entre mayúsculas y minúsculas.
**importante**
Para que sus permisos permitan o restrinjan las acciones que quiera, debe seguir estas convenciones. Esta clave `VPCId` de condición solo acepta `VPCRegion` los elementos; por ejemplo, no se admiten otros AWS recursos. Cuenta de AWS
**Para`route53profiles:ResourceTypes`, el valor puede ser cualquiera de los siguientes y distingue entre mayúsculas y minúsculas:**
+ HostedZone
+ FirewallRuleGroup
+ ResolverQueryLoggingConfig
+ ResolverRule
+ VPCEndpoint
**Para `route53profiles:ResourceArns`:**
+ El valor debe ser un ARN AWS de recurso válido, como. `arn:aws:route53:::hostedzone/Z12345`
+ Utilice el operador de `ArnLike` condición `ArnEquals` o al comparar los valores del ARN.
**Para `route53profiles:HostedZoneDomains`:**
+ El valor debe ser un nombre de dominio válido, como`example.com`.
+ El nombre de dominio debe estar sin el punto final.
+ Estos valores distinguen entre mayúsculas y minúsculas.
**Para `route53profiles:ResolverRuleDomains`:**
+ El valor debe ser un nombre de dominio válido, como`example.com`.
+ El nombre de dominio debe estar sin el punto final.
+ Estos valores distinguen entre mayúsculas y minúsculas.
**Para `route53profiles:FirewallRuleGroupPriority`:**
+ El valor debe ser un valor numérico que represente la prioridad del grupo de reglas del firewall.
+ Utilice operadores de condición numéricos como `NumericEquals``NumericGreaterThanEquals`, o `NumericLessThanEquals` para comparar valores de prioridad o definir un rango de prioridades.
**Para `route53profiles:ResourceIds`:**
+ El valor debe ser un ID de VPC válido, por ejemplo. `vpc-1a2b3c4d5e6f`
+ Estos valores distinguen entre mayúsculas y minúsculas.
Puede utilizar [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) o [Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) de la *Guía del usuario de IAM* para validar que la política conceda o restrinja los permisos según lo previsto. Para validar los permisos, también puede aplicar una política de IAM a un usuario o rol de prueba para llevar a cabo las operaciones de Route 53.
## Especificación de condiciones: uso de claves de condición
AWS proporciona un conjunto de claves de condición AWS predefinidas (claves de condición generales) para todos los AWS servicios que admiten la IAM para el control de acceso. Por ejemplo, puede usar la clave de condición `aws:SourceIp` para comprobar la dirección IP del solicitante antes de permitir que se lleve a cabo cualquier acción. Para obtener más información y una lista con las claves generales de AWS, consulte [Available Keys for Conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) (Claves disponibles para las condiciones) en la *Guía del usuario de IAM*.
**nota**
Route 53 no admite claves de condición basadas en etiquetas.
En la siguiente tabla se muestran las claves de condición específicas del servicio Route 53 que se aplican a Route 53.
****
| Clave de condición de Route 53 | Operaciones de la API | Tipo de valor | Description (Descripción) |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalor | Representa una lista de nombres de registros DNS incluidos en la solicitud de. ChangeResourceRecordSets Para obtener el comportamiento esperado, los nombres de DNS de la política de IAM se deben normalizar de la siguiente manera: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalor | Representa una lista de tipos de registros de DNS en la solicitud de `ChangeResourceRecordSets`. `ChangeResourceRecordSetsRecordTypes` puede ser cualquiera de los tipos de registros de DNS compatibles con Route 53. Para obtener más información, consulte [Tipos de registros de DNS admitidos](ResourceRecordTypes.md). En la política, todo se debe escribir en mayúsculas. |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalor | Representa una lista de acciones en la solicitud de `ChangeResourceRecordSets`. `ChangeResourceRecordSetsActions` puede ser cualquiera de los siguientes valores (debe estar en mayúscula): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [Asociado VPCWith HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [Disociar VPCFrom HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [Crear autorización VPCAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [Eliminar VPCAssociation autorización](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | Multivalor | Representa una lista de VPCs en la solicitud de AssociateVPCWithHostedZoneDisassociateVPCFromHostedZone,ListHostedZonesByVPC,CreateHostedZone,CreateVPCAssociationAuthorization, yDeleteVPCAssociationAuthorization, con el formato de "VPCId=, VPCRegion = |
| route53profiles:ResourceTypes | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Cadena | Filtra el acceso por tipo de recurso específico. `route53profiles:ResourceTypes`puede ser cualquiera de los siguientes valores (distingue entre mayúsculas y minúsculas): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:ResourceArns | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) | ARN | Filtra el acceso por recurso específico ARNs. |
| route53profiles:HostedZoneDomains | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Cadena | Filtra el acceso por dominios de la zona alojada. Para obtener el comportamiento esperado, los nombres de dominio de la política de IAM deben normalizarse de la siguiente manera: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:ResolverRuleDomains | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Cadena | Filtra el acceso por dominios de Resolver Rule. Para obtener el comportamiento esperado, los nombres de dominio de la política de IAM deben normalizarse de la siguiente manera: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:FirewallRuleGroupPriority | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Numérico | Filtra el acceso por rango de prioridad de un grupo de reglas de firewall. |
| route53profiles:ResourceIds | [AssociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateProfile.html) [DisassociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateProfile.html) | Cadena | Filtra el acceso por datos VPCs. |
## Ejemplos de políticas: uso de condiciones para el acceso preciso
Cada uno de los ejemplos de esta sección establece en la cláusula Effect el valor Allow y especifica solamente las acciones, los recursos y los parámetros que se permiten. Únicamente se permite el acceso a aquello que se indica explícitamente en la política de IAM.
En algunos casos, se pueden modificar estas políticas de tal forma que se basen en la denegación (en cuyo caso, se establecería la cláusula Effect en Allow y se invertiría toda la lógica de la política). Sin embargo, recomendamos evitar el uso de políticas basadas en la denegación, ya que son difíciles de escribir correctamente en comparación con las políticas basadas el permiso. Esto es especialmente cierto para Route 53 debido a la normalización del texto que se requiere.
**Concesión de permisos que limitan el acceso a los registros de DNS con nombres específicos**
La siguiente política de permisos otorga permisos que permiten acciones de `ChangeResourceRecordSets` en la zona alojada Z12345 para ejemplo.com. y marketing.ejemplo.com. Utiliza la clave de condición `route53:ChangeResourceRecordSetsNormalizedRecordNames` para limitar las acciones del usuario solo en los registros que coincidan con los nombres especificados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` es un operador de condición de IAM que se aplica a claves con varios valores. La condición de la política anterior permitirá la operación solo cuando todos los cambios en `ChangeResourceRecordSets` tengan el nombre de DNS example.com. Para obtener más información, consulte [IAM condition operators](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) (Operadores de condición de IAM) y [IAM condition with multiple keys or values](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) (Condición de IAM con varias claves o valores) en la Guía del usuario de IAM.
Para implementar el permiso que hace coincidir nombres con ciertos sufijos, puede usar el comodín de IAM (\$1) en la política con el operador de condición `StringLike` o `StringNotLike`. La siguiente política permitirá la operación cuando todos los cambios en la operación `ChangeResourceRecordSets` tengan nombres de DNS que terminen en “-beta.example.com”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**nota**
El comodín de IAM no es el mismo que el comodín del nombre de dominio. Consulte el siguiente ejemplo para saber cómo utilizar el comodín con un nombre de dominio.
**Concesión de permisos que limiten el acceso a los registros de DNS que coincidan con un nombre de dominio que tenga un comodín**
La siguiente política de permisos concede permisos que autorizan acciones `ChangeResourceRecordSets` en la zona alojada Z12345 para example.com. Utiliza la clave de condición `route53:ChangeResourceRecordSetsNormalizedRecordNames` para limitar las acciones del usuario solo a los registros que coincidan con \$1.example.com.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` es el código octal del carácter \$1 del nombre de DNS, y `\` en `\052` es un carácter de escape que significa `\\` para seguir la sintaxis JSON.
**Concesión de permisos que limiten el acceso a los registros de DNS específicos**
La siguiente política de permisos concede permisos que autorizan acciones `ChangeResourceRecordSets` en la zona alojada Z12345 para example.com. Utiliza la combinación de tres claves de condición para limitar las acciones del usuario y permitir solo la creación o edición de registros de DNS con un nombre y un tipo de DNS determinados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**Concesión de permisos que limiten el acceso a la creación y edición solo de los tipos de registros de DNS especificados**
La siguiente política de permisos concede permisos que autorizan acciones `ChangeResourceRecordSets` en la zona alojada Z12345 para example.com. Utiliza la clave de condición `route53:ChangeResourceRecordSetsRecordTypes` para limitar las acciones del usuario solo en los registros que coincidan con los tipos especificados (A y AAAA).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**Otorgamiento de permisos que especifiquen la VPC en la que la entidad principal de IAM puede operar**
La siguiente política de permisos otorga permisos que permiten acciones `AssociateVPCWithHostedZone`, `DisassociateVPCFromHostedZone`, `ListHostedZonesByVPC`, `CreateHostedZone`, `CreateVPCAssociationAuthorization` y `DeleteVPCAssociationAuthorization` en la VPC especificada por el vpc-id.
**importante**
El formato del valor de condición debe ser `VPCId=,VPCRegion=`. Si especifica un ARN de VPC en el valor de condición, la clave de condición no surtirá efecto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
**importante**
Las claves de `route53profiles` condición están disponibles en todos los Regiones de AWS lugares donde esté disponible Route53Profiles de Route 53, excepto en me-central-1 y me-south-1.
**Otorgue permisos que limiten la asociación de recursos a tipos de recursos específicos en los perfiles de Route 53**
La siguiente política de permisos otorga permisos que solo permiten `AssociateResourceToProfile` `DisassociateResourceFromProfile` y actúan cuando el tipo de recurso es una zona alojada. Utiliza la clave de `route53profiles:ResourceTypes` condición para restringir los tipos de recursos que se pueden asociar a un perfil.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResourceTypes": "HostedZone"
}
}
}
```
**Otorgue permisos que limiten la asociación de recursos a un recurso específico ARNs en los perfiles de Route 53**
La siguiente política de permisos concede permisos que permiten `AssociateResourceToProfile` y `DisassociateResourceFromProfile` actúan únicamente para el ARN del recurso especificado. Utiliza la clave de `route53profiles:ResourceArns` condición para restringir los recursos que se pueden asociar a un perfil.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"route53profiles:ResourceArns": "arn:aws:route53:::hostedzone/Z12345"
}
}
}
```
**Otorgue permisos que limiten la asociación de recursos a dominios de zonas alojadas específicos en los perfiles de Route 53**
La siguiente política de permisos otorga permisos que permiten `AssociateResourceToProfile` y `DisassociateResourceFromProfile` `UpdateProfileResourceAssociation` actúan solo cuando el dominio de la zona alojada coincide con el valor especificado. Utiliza la clave de `route53profiles:HostedZoneDomains` condición para restringir los dominios de la zona alojada que se pueden asociar a un perfil.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:HostedZoneDomains": "example.com"
}
}
}
```
**Otorgue permisos que limiten la asociación de recursos a dominios específicos de Resolver Rule en los perfiles de Route 53**
La siguiente política de permisos otorga permisos que permiten `AssociateResourceToProfile` y `DisassociateResourceFromProfile` `UpdateProfileResourceAssociation` actúa solo cuando el dominio de la regla de resolución coincide con el valor especificado. Utiliza la clave de `route53profiles:ResolverRuleDomains` condición para restringir qué dominios de la regla de resolución se pueden asociar a un perfil.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResolverRuleDomains": "example.com"
}
}
}
```
**Otorgue permisos que limiten la asociación de grupos de reglas de firewall a un rango de prioridad específico en los perfiles de Route 53**
La siguiente política de permisos otorga permisos que permiten `AssociateResourceToProfile` y `DisassociateResourceFromProfile` actúa solo `UpdateProfileResourceAssociation` cuando la prioridad del grupo de reglas de firewall se encuentra dentro del rango especificado. Utiliza la clave de `route53profiles:FirewallRuleGroupPriority` condición para restringir los valores de prioridad que se pueden usar.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"NumericGreaterThanEquals": {
"route53profiles:FirewallRuleGroupPriority": "100"
}
}
}
```
**Otorgue permisos que VPCs limiten la asociación de perfiles a perfiles específicos de Route 53**
La siguiente política de permisos concede permisos que permiten `AssociateProfile` y `DisassociateProfile` actúan solo para la VPC especificada. Utiliza la clave de `route53profiles:ResourceIds` condición para restringir VPCs a qué perfil se puede asociar.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:DisassociateProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResourceIds": "vpc-1a2b3c4d5e6f"
}
}
}
```