Présentation de la gestion des autorisations d'accès à vos ressources Amazon Route 53 - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès à vos ressources Amazon Route 53

Chaque AWS ressource appartient à un AWS compte, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur détenant des privilèges d'administrateur. Pour plus d'informations sur les administrateurs, consultez les IAM meilleures pratiques du Guide de IAM l'utilisateur.

Lorsque vous accordez des autorisations, vous décidez qui obtient les autorisations, pour quelles ressources, ainsi que les actions autorisées.

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ? Pour Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.

IAM Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec les AWS ressources du Guide de IAM l'utilisateur.
IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.

ARNspour les ressources Amazon Route 53

Amazon Route 53 prend en charge différents types de ressources pour DNS la vérification de l'état de santé et l'enregistrement de domaines. Dans une politique, vous pouvez accorder ou refuser l'accès aux ressources suivantes en utilisant * for the ARN :

  • Surveillance de l'état

  • Zones hébergées

  • Ensembles de délégations réutilisables

  • État d'un lot de modification d'un ensemble d'enregistrements de ressources (APIuniquement)

  • Stratégies de trafic (flux de trafic)

  • Instances de stratégies de trafic (flux de trafic)

Certaines ressources Route 53 ne prennent pas en charge les autorisations. Vous ne pouvez pas accorder ni refuser l'accès aux ressources suivantes :

  • Domaines

  • Enregistrements individuels

  • Balises pour les domaines

  • Balises pour les surveillances de l'état

  • Balises pour les zones hébergées

Route 53 propose des API actions permettant de travailler avec chacun de ces types de ressources. Pour plus d'informations, consultez le manuel Amazon Route 53 API Reference. Pour obtenir la liste des actions et celles ARN que vous spécifiez pour accorder ou refuser l'autorisation d'utiliser chaque action, voirAPIAutorisations Amazon Route 53 : référence aux actions, aux ressources et aux conditions.

Présentation de la propriété des ressources

Un AWS compte possède les ressources qui y sont créées, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'entité principale (c'est-à-dire le compte root ou un IAM rôle) qui authentifie la demande de création de ressource.

Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les informations d'identification du compte root de votre AWS compte pour créer une zone hébergée, votre AWS compte est le propriétaire de la ressource.

  • Si vous créez un utilisateur dans votre AWS compte et que vous accordez l'autorisation de créer une zone hébergée à cet utilisateur, celui-ci peut créer une zone hébergée. Toutefois, votre compte AWS , auquel l'utilisateur appartient, détient la ressource des zones hébergées.

  • Si vous créez un IAM rôle dans votre AWS compte avec les autorisations nécessaires pour créer une zone hébergée, toute personne pouvant assumer ce rôle peut créer une zone hébergée. Votre AWS compte, auquel appartient le rôle, possède la ressource de zone hébergée.

Gestion de l’accès aux ressources

Une politique d'autorisation précise qui a accès à quoi. Cette section présente les options de création de politiques d'autorisation pour Amazon Route 53. Pour des informations générales sur la syntaxe et les descriptions des IAM politiques, consultez la référence des AWS IAM politiques dans le guide de IAM l'utilisateur.

Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques), et les politiques associées à une ressource sont appelées politiques basées sur les ressources. Route 53 ne prend en charge que les politiques basées sur l'identité (IAMpolitiques).

Politiques basées sur l'identité (politiques) IAM

Vous pouvez associer des politiques aux IAM identités. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Attacher une stratégie d'autorisation à un utilisateur ou à un groupe dans votre compte – Un administrateur de compte peut utiliser une stratégie d'autorisation associée à un utilisateur particulier pour autoriser cet utilisateur à créer des ressources Amazon Route 53.

  • Associer une politique d'autorisation à un rôle (accorder des autorisations entre comptes) : vous pouvez autoriser un utilisateur créé par un autre AWS compte à effectuer des actions Route 53. Pour ce faire, vous associez une politique d'autorisation à un IAM rôle, puis vous autorisez l'utilisateur de l'autre compte à assumer le rôle. L'exemple suivant explique comment cela fonctionne pour les deux comptes  AWS , le compte A et le compte B :

    1. Compte Un administrateur crée un IAM rôle et y attache une politique d'autorisation qui accorde des autorisations pour créer ou accéder à des ressources détenues par le compte A.

    2. L'administrateur du compte A accorde une politique d'approbation au rôle. La politique d'approbation identifie le Compte B comme le compte principal pouvant assumer le rôle.

    3. L'administrateur du Compte B peut ensuite déléguer des autorisations pour assumer le rôle à des utilisateurs ou groupes du Compte B. Cela permet aux utilisateurs du Compte B de créer ou d'accéder aux ressources du Compte A.

    Pour plus d'informations sur la façon de déléguer des autorisations aux utilisateurs d'un autre AWS compte, consultez la section Gestion des accès dans le guide de IAM l'utilisateur.

L'exemple de stratégie suivant permet à un utilisateur d'exécuter l'action CreateHostedZone afin de créer une zone hébergée publique pour n'importe quel compte AWS  :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone" ], "Resource":"*" } ] }

Si vous souhaitez que la politique s'applique également aux zones hébergées privées, vous devez accorder des autorisations pour utiliser l'AssociateVPCWithHostedZoneaction Route 53 et deux EC2 actions Amazon, DescribeVpcs etDescribeRegion, comme indiqué dans l'exemple suivant :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53:AssociateVPCWithHostedZone" ], "Resource":"*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRegion" ], "Resource":"*" }, ] }

Pour plus d'informations sur l'attachement de stratégies aux identités pour Route 53, consultez Utilisation de politiques basées sur l'identité (IAMpolitiques) pour Amazon Route 53. Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la section Identités (utilisateurs, groupes et rôles) dans le guide de IAM l'utilisateur.

Politiques basées sur les ressources

D'autres services, tels que Amazon S3, prennent également en charge l'attachement de stratégies d'autorisation aux ressources. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. Amazon Route 53 ne prend pas en charge l'attachement de stratégies aux ressources. 

Spécification des éléments d'une stratégie : ressources, actions, effets et mandataires

Amazon Route 53 inclut API des actions (voir la APIréférence Amazon Route 53) que vous pouvez utiliser sur chaque ressource Route 53 (voirARNspour les ressources Amazon Route 53). Vous pouvez accorder à un utilisateur ou à un utilisateur fédéré les autorisations nécessaires pour effectuer tout ou partie de ces actions. Notez que certaines API actions, telles que l'enregistrement d'un domaine, nécessitent des autorisations pour effectuer plusieurs actions.

Voici les éléments de base d’une politique :

  • Ressource : vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter ARNspour les ressources Amazon Route 53.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'élément Effect indiqué, l'autorisation route53:CreateHostedZone accorde ou refuse à un utilisateur la possibilité d'exécuter l'action CreateHostedZone Route 53.

  • Effet : vous spécifiez l'effet, autoriser ou refuser, lorsqu'un utilisateur tente d'exécuter l'action sur la ressource spécifiée. Si vous n'accordez pas explicitement l'accès à une action, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde l'accès.

  • Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). Route 53 ne prend pas en charge les stratégies basées sur une ressource.

Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, consultez la référence des AWS IAM politiques dans le guide de IAM l'utilisateur.

Pour une de tableau présentant toutes les API opérations de la Route 53 et les ressources auxquelles elles s'appliquent, consultezAPIAutorisations Amazon Route 53 : référence aux actions, aux ressources et aux conditions.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage IAM de politique pour spécifier à quel moment une politique doit entrer en vigueur. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Éléments IAM JSON de stratégie : Condition dans le guide de IAM l'utilisateur.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à Route 53. Cependant, il existe de AWS larges clés d'état que vous pouvez utiliser selon vos besoins. Pour obtenir la liste complète des touches AWS larges, consultez la section Clés disponibles pour connaître les conditions dans le guide de IAM l'utilisateur.