Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acciones, recursos y claves de condición para Amazon Route 53 Resolver
Amazon Route 53 Resolver (prefijo de servicio: route53resolver) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon Route 53 Resolver
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AssociateFirewallRuleGroup | Otorga permiso para asociar una Amazon VPC a un grupo de reglas de firewall especificado | Write |
ec2:DescribeVpcs |
||
| AssociateResolverEndpointIpAddress | Otorga permiso para asociar una dirección IP especificada con un punto de enlace de Resolver. Se trata de una dirección IP por la que pasan las consultas de DNS cuando se dirigen a su red (saliente) o a la suya VPCs (entrante) | Escritura |
ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets |
||
| AssociateResolverQueryLogConfig | Otorga permiso para asociar una Amazon VPC con una configuración de registro de consultas especificada | Write |
ec2:DescribeVpcs |
||
| AssociateResolverRule | Otorga permiso para asociar una regla de Resolver especificada con una VPC especificada. | Write |
ec2:DescribeVpcs |
||
| CreateFirewallDomainList | Otorga permiso para crear una lista de dominios de firewall. | Write | |||
| CreateFirewallRule | Otorga permiso para crear una regla de firewall dentro de un grupo de reglas de firewall. | Write | |||
| CreateFirewallRuleGroup | Otorga permiso para crear un grupo de reglas de firewall. | Escritura | |||
| CreateOutpostResolver | Otorga permiso para crear un Route 53 Resolver en Outposts | Escritura |
outposts:GetOutpost |
||
| CreateResolverEndpoint | Otorga permiso para crear un punto enlace de Resolver. Existen dos tipos de puntos de enlace de Resolver: de entrada y de salida. | Escritura |
ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateResolverQueryLogConfig | Otorga permiso para crear una configuración de registro de consultas de Resolver, que define dónde desea que Resolver guarde los registros de consultas de DNS que se originan en su VPCs | Escritura | |||
| CreateResolverRule | Otorga permiso para definir cómo dirigir las consultas que salen de su VPC fuera de la VPC. | Escritura | |||
| DeleteFirewallDomainList | Otorga permiso para eliminar una lista de dominios de firewall. | Write | |||
| DeleteFirewallRule | Otorga permiso para eliminar una regla de firewall dentro de un grupo de reglas de firewall. | Write | |||
| DeleteFirewallRuleGroup | Otorga permiso para eliminar un grupo de reglas de firewall. | Escritura | |||
| DeleteOutpostResolver | Otorga permiso para eliminar un Route 53 Resolver en Outposts | Escritura | |||
| DeleteResolverEndpoint | Otorga permiso para eliminar un punto de enlace de Resolver. El efecto de eliminar un punto de enlace de Resolver depende de si se trata de un punto de enlace de Resolver de entrada o de salida. | Write |
ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces |
||
| DeleteResolverQueryLogConfig | Otorga permiso para eliminar una configuración de registro de consultas de Resolver | Write | |||
| DeleteResolverRule | Otorga permiso para eliminar una regla de Resolver. | Write | |||
| DisassociateFirewallRuleGroup | Otorga permiso para quitar la asociación entre un grupo de reglas de firewall especificado y una VPC especificada | Write | |||
| DisassociateResolverEndpointIpAddress | Otorga permiso para eliminar una dirección IP especificada de un punto de enlace de Resolver. Se trata de una dirección IP por la que pasan las consultas de DNS cuando se dirigen a su red (salientes) o a la suya VPCs (entrantes) | Escritura |
ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces |
||
| DisassociateResolverQueryLogConfig | Otorga permiso para eliminar la asociación entre una configuración de registro de consultas de Resolver especificada y una VPC especificada | Write | |||
| DisassociateResolverRule | Otorga permiso para eliminar la asociación entre una regla de Resolver especificada y una VPC especificada | Write | |||
| GetFirewallConfig | Otorga permiso para obtener información sobre una configuración de firewall especificada. | Read |
ec2:DescribeVpcs |
||
| GetFirewallDomainList | Otorga permiso para obtener información sobre una lista de dominios de firewall especificada. | Read | |||
| GetFirewallRuleGroup | Otorga permiso para obtener información sobre un grupo de reglas de firewall especificado. | Read | |||
| GetFirewallRuleGroupAssociation | Otorga permiso para obtener información sobre una asociación entre un grupo de reglas de firewall especificado y una VPC | Lectura | |||
| GetFirewallRuleGroupPolicy | Otorga permiso para obtener información sobre una política de grupo de reglas de firewall específica, que especifica las operaciones y los recursos del grupo de reglas de firewall que desea permitir que otro usuario utilice Cuenta de AWS | Lectura | |||
| GetOutpostResolver | Otorga permiso para obtener información sobre un determinado Route 53 Resolver en Outposts | Lectura | |||
| GetResolverConfig | Otorga permiso para obtener el estado Resolver Config dentro del recurso especificado. | Lectura |
ec2:DescribeVpcs |
||
| GetResolverDnssecConfig | Otorga permiso para obtener el estado de compatibilidad de validación de las DNSSEC para las consultas DNS dentro del recurso especificado | Read | |||
| GetResolverEndpoint | Otorga permiso para obtener información sobre un punto de enlace de Resolver especificado; por ejemplo, si se trata de un punto de enlace de Resolver de entrada o de salida, y las direcciones IP de su VPC a las que se envían las consultas de DNS que entran o salen de su VPC. | Lectura | |||
| GetResolverQueryLogConfig | Otorga permiso para obtener información sobre una configuración de registro de consultas de Resolver específica, como el número de las VPCs que la configuración registra las consultas y la ubicación a la que se envían los registros | Lectura |
ec2:DescribeVpcs |
||
| GetResolverQueryLogConfigAssociation | Otorga permiso para obtener información sobre una asociación especificada entre una configuración de registro de consultas de Resolver y una Amazon VPC. Cuando asocia una VPC con una configuración de registro de consultas, Resolver registra consultas DNS que se originan en esa VPC | Lectura | |||
| GetResolverQueryLogConfigPolicy | Otorga permiso para obtener información sobre una política de registro de consultas de Resolver específica, que especifica las operaciones y los recursos de registro de consultas de Resolver que desea permitir que otra Cuenta de AWS persona utilice | Lectura | |||
| GetResolverRule | Otorga permiso para obtener información sobre una regla de resolución especificada, como, por ejemplo, el nombre de dominio al que la regla envía las consultas de DNS y la dirección IP a la que se envían las consultas. | Read | |||
| GetResolverRuleAssociation | Otorga permiso para obtener información acerca de una asociación entre una regla de Resolver especificada y una VPC. | Lectura | |||
| GetResolverRulePolicy | Otorga permiso para obtener información sobre una política de reglas de Resolver, que especifica las operaciones y los recursos de Resolver que desea permitir que otro Cuenta de AWS usuario utilice | Lectura | |||
| ImportFirewallDomains | Otorga permiso para agregar, quitar o reemplazar dominios de firewall en una lista de dominios de firewall. | Escritura | |||
| ListFirewallConfigs | Otorga permiso para enumerar todas las configuraciones de firewall Cuenta de AWS que Current puede comprobar | Enumeración |
ec2:DescribeVpcs |
||
| ListFirewallDomainLists | Otorga permiso para enumerar toda la lista de dominios del Firewall Cuenta de AWS que puede usar Current | Enumeración | |||
| ListFirewallDomains | Otorga permiso para incluir todos los dominios de Firewall en una lista de dominios de Firewall específica | Enumeración | |||
| ListFirewallRuleGroupAssociations | Otorga permiso para incluir información sobre las asociaciones entre Amazon VPCs y el grupo de reglas de Firewall | Enumeración | |||
| ListFirewallRuleGroups | Otorga permiso para enumerar todos los grupos de reglas de Firewall que Cuenta de AWS actualmente puede usar | Enumeración | |||
| ListFirewallRules | Otorga permiso para enumerar todas las reglas de firewall de un grupo de reglas de firewall específico | Enumeración | |||
| ListOutpostResolvers | Otorga permiso para enumerar todas las instancias de Route 53 Resolver en Outposts que se crearon con la versión actual Cuenta de AWS | Enumeración | |||
| ListResolverConfigs | Otorga permiso para enumerar los estados de Resolver Config. | Enumeración |
ec2:DescribeVpcs |
||
| ListResolverDnssecConfigs | Otorga permiso para enumerar los estados de compatibilidad de validación de las DNSSEC para las consultas DNS | Enumeración | |||
| ListResolverEndpointIpAddresses | Otorga permiso para enumerar las direcciones IP por las que pasan las consultas de DNS cuando se dirigen a su red (salientes) o a la suya VPCs (entrantes) para un punto final de Resolver específico | Enumeración | |||
| ListResolverEndpoints | Otorga permiso para enumerar todos los puntos finales del Resolver que se crearon con el actual Cuenta de AWS | Enumeración | |||
| ListResolverQueryLogConfigAssociations | Otorga permiso para incluir información sobre las asociaciones entre Amazon VPCs y las configuraciones de registro de consultas | Enumeración |
ec2:DescribeVpcs |
||
| ListResolverQueryLogConfigs | Otorga permiso para incluir información sobre las configuraciones de registro de consultas especificadas, que definen dónde desea VPCs que Resolver guarde los registros de consultas de DNS y especifican dónde desea registrar las consultas | Enumeración |
ec2:DescribeVpcs |
||
| ListResolverRuleAssociations | Otorga permiso para enumerar las asociaciones que se crearon entre las reglas de Resolver y las que VPCs utilizan las actuales Cuenta de AWS | Enumeración |
ec2:DescribeVpcs |
||
| ListResolverRules | Otorga permiso para enumerar las reglas de Resolver que se crearon con la actual Cuenta de AWS | Enumeración | |||
| ListTagsForResource | Otorga permiso para obtener una lista de las etiquetas que ha asociado con el recurso especificado | Lectura | |||
| PutFirewallRuleGroupPolicy | Otorga permiso para especificar con el Cuenta de AWS que desea compartir un grupo de reglas de firewall, el grupo de reglas de firewall que desea compartir y las operaciones que desea que la cuenta pueda realizar en la configuración | Administración de permisos | |||
| PutResolverQueryLogConfigPolicy | Otorga permiso para especificar una con la Cuenta de AWS que desea compartir una configuración de registro de consultas, la configuración de registro de consultas que desea compartir y las operaciones que desea que la cuenta pueda realizar en la configuración | Administración de permisos | |||
| PutResolverRulePolicy | Otorga permiso para especificar una con la Cuenta de AWS que desea compartir las reglas, las reglas de Resolver que desea compartir y las operaciones que desea que la cuenta pueda realizar con esas reglas | Administración de permisos | |||
| TagResource | Otorga permiso para agregar una o varias etiquetas a un recurso especificado. | Etiquetado | |||
| UntagResource | Concede permiso para eliminar una o más etiquetas de un recurso especificado. | Etiquetado | |||
| UpdateFirewallConfig | Otorga permiso para actualizar la configuración seleccionada para una configuración de firewall. | Write |
ec2:DescribeVpcs |
||
| UpdateFirewallDomains | Otorga permiso para agregar, quitar o reemplazar dominios de firewall en una lista de dominios de firewall. | Write | |||
| UpdateFirewallRule | Otorga permiso para actualizar la configuración seleccionada para una regla de firewall en un grupo de reglas de firewall. | Write | |||
| UpdateFirewallRuleGroupAssociation | Otorga permiso para actualizar la configuración seleccionada para una asociación de grupo de reglas de firewall. | Escritura | |||
| UpdateOutpostResolver | Otorga permiso para actualizar la configuración seleccionada para un Route 53 Resolver específico en Outposts | Escritura | |||
| UpdateResolverConfig | Otorga permiso para actualizar el estado de Resolver Config dentro del recurso especificado. | Escritura |
ec2:DescribeVpcs |
||
| UpdateResolverDnssecConfig | Otorga permiso para actualizar el estado de compatibilidad de validación de las DNSSEC para las consultas DNS dentro del recurso especificado | Write | |||
| UpdateResolverEndpoint | Otorga permiso para actualizar la configuración seleccionada de un punto de enlace de Resolver de entrada o de salida. | Write |
ec2:AssignIpv6Addresses ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:ModifyNetworkInterfaceAttribute ec2:UnassignIpv6Addresses |
||
| UpdateResolverRule | Otorga permiso para actualizar la configuración de una regla de Resolver especificada. | Write |
Tipos de recursos definidos por Amazon Route 53 Resolver
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| resolver-dnssec-config |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-dnssec-config/${ResourceId}
|
|
| resolver-query-log-config |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-query-log-config/${ResourceId}
|
|
| resolver-rule |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-rule/${ResourceId}
|
|
| resolver-endpoint |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-endpoint/${ResourceId}
|
|
| firewall-rule-group |
arn:${Partition}:route53resolver:${Region}:${Account}:firewall-rule-group/${ResourceId}
|
|
| firewall-rule-group-association |
arn:${Partition}:route53resolver:${Region}:${Account}:firewall-rule-group-association/${ResourceId}
|
|
| firewall-domain-list |
arn:${Partition}:route53resolver:${Region}:${Account}:firewall-domain-list/${ResourceId}
|
|
| firewall-config |
arn:${Partition}:route53resolver:${Region}:${Account}:firewall-config/${ResourceId}
|
|
| resolver-config |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-config/${ResourceId}
|
|
| outpost-resolver |
arn:${Partition}:route53resolver:${Region}:${Account}:outpost-resolver/${ResourceId}
|
Claves de condición para Amazon Route 53 Resolver
Amazon Route 53 Resolver define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso mediante la presencia de los pares clave-valor de etiqueta adjuntados al recurso | Cadena |
| aws:TagKeys | Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud | ArrayOfString |
