Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Gambaran umum pengelolaan izin akses untuk sumber daya Amazon Route 53
Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin.
catatan
administrator akun (atau pengguna administrator) adalah pengguna yang memiliki hak istimewa administrator. Untuk informasi selengkapnya tentang administrator, lihat praktik IAM terbaik di Panduan IAM Pengguna.
Ketika Anda memberikan izin, Anda memutuskan siapa yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan yang mereka dapatkan izinnya untuk tampil.
Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.
Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.
| Pengguna mana yang membutuhkan akses programatis? | Untuk | Oleh |
|---|---|---|
|
Identitas tenaga kerja (Pengguna dikelola di Pusat IAM Identitas) |
Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs |
Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.
|
| IAM | Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs | Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya di IAMPanduan Pengguna. |
| IAM | (Tidak direkomendasikan) Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs |
Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.
|
Topik
ARNsuntuk sumber daya Amazon Route 53
Amazon Route 53 mendukung berbagai jenis sumber daya untukDNS, pemeriksaan kesehatan, dan pendaftaran domain. Dalam kebijakan, Anda dapat memberikan atau menolak akses ke sumber daya berikut dengan menggunakan * untukARN:
-
Pemeriksaan kondisi
-
Zona yang di-hosting
-
Rangkaian delegasi yang dapat digunakan kembali
-
Status kumpulan perubahan kumpulan catatan sumber daya (APIhanya)
-
Kebijakan lalu lintas (arus lalu lintas)
-
Instans kebijakan lalu lintas (arus lalu lintas)
Tidak semua sumber daya Route 53 mendukung izin. Anda tidak dapat memberikan atau menolak akses ke sumber daya berikut:
-
Domain
-
Catatan individu
-
Tanda untuk domain
-
Tanda untuk pemeriksaan kesehatan
-
Tanda untuk zona yang di-host
Route 53 menyediakan API tindakan untuk bekerja dengan masing-masing jenis sumber daya ini. Untuk informasi selengkapnya, lihat APIReferensi Amazon Route 53. Untuk daftar tindakan dan ARN yang Anda tentukan untuk memberikan atau menolak izin untuk menggunakan setiap tindakan, lihatAPIIzin Amazon Route 53: Referensi tindakan, sumber daya, dan kondisi.
Memahami kepemilikan sumber daya
AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun entitas utama (yaitu, akun root, atau IAM peran) yang mengautentikasi permintaan pembuatan sumber daya.
Contoh berikut menggambarkan cara kerjanya:
-
Jika Anda menggunakan kredensi akun root AWS akun Anda untuk membuat zona yang dihosting, AWS akun Anda adalah pemilik sumber daya.
-
Jika Anda membuat pengguna di AWS akun Anda dan memberikan izin untuk membuat zona yang dihosting kepada pengguna tersebut, pengguna dapat membuat zona yang dihosting. Namun, akun AWS Anda yang dimiliki pengguna, memiliki sumber daya zona yang di-hosting.
-
Jika Anda membuat IAM peran di AWS akun dengan izin untuk membuat zona yang dihosting, siapa pun yang dapat mengambil peran tersebut dapat membuat zona yang dihosting. AWS Akun Anda, tempat peran tersebut berada, memiliki sumber daya zona yang dihosting.
Mengelola akses ke sumber daya
Sebuah kebijakan izin menentukan siapa yang memiliki akses ke apa. Bagian ini menjelaskan opsi untuk membuat kebijakan izin untuk Amazon Route 53. Untuk informasi umum tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.
Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan), dan IAM kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. Route 53 hanya mendukung kebijakan (kebijakan) IAM berbasis identitas.
Kebijakan berbasis identitas (kebijakan IAM)
Anda dapat melampirkan kebijakan ke IAM identitas. Misalnya, Anda dapat melakukan hal berikut:
-
Lampirkan kebijakan izin ke pengguna atau grup dalam akun Anda – Administrator akun dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin bagi pengguna tersebut untuk membuat sumber daya Amazon Route 53.
-
Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat memberikan izin untuk melakukan tindakan Route 53 kepada pengguna yang dibuat oleh akun lain. AWS Untuk melakukannya, Anda melampirkan kebijakan izin ke IAM peran, lalu Anda mengizinkan pengguna di akun lain untuk mengambil peran tersebut. Contoh berikut menjelaskan cara kerjanya untuk dua akun AWS , akun A dan B:
-
Akun Administrator membuat IAM peran dan melampirkan ke peran kebijakan izin yang memberikan izin untuk membuat atau mengakses sumber daya yang dimiliki oleh akun A.
-
Akun Administrator melampirkan kebijakan kepercayaan pada peran tersebut. Kebijakan kepercayaan mengidentifikasi akun B sebagai prinsipal yang dapat menjalankan peran tersebut.
-
Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran ke pengguna atau grup di akun B. Ini memungkinkan pengguna di akun B untuk membuat atau mengakses sumber daya di akun A.
Untuk informasi selengkapnya tentang cara mendelegasikan izin kepada pengguna di AWS akun lain, lihat Manajemen akses di IAMPanduan Pengguna.
-
Kebijakan contoh berikut memungkinkan pengguna untuk melakukan tindakan CreateHostedZone untuk membuat zona yang di-hosting publik untuk setiap akun AWS :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone" ], "Resource":"*" } ] }
Jika Anda ingin kebijakan juga berlaku untuk zona yang dihosting pribadi, Anda perlu memberikan izin untuk menggunakan AssociateVPCWithHostedZone tindakan Route 53 dan dua EC2 tindakan Amazon, DescribeVpcs danDescribeRegion, seperti yang ditunjukkan pada contoh berikut:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53:AssociateVPCWithHostedZone" ], "Resource":"*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRegion" ], "Resource":"*" }, ] }
Untuk informasi selengkapnya tentang melampirkan kebijakan pada identitas untuk Route 53, lihat Menggunakan kebijakan (IAMkebijakan) berbasis identitas untuk Amazon Route 53. Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (pengguna, grup, dan peran) di IAMPanduan Pengguna.
Kebijakan berbasis sumber daya
Layanan lain, seperti Amazon S3, juga support melampirkan kebijakan izin untuk sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. Amazon Route 53 tidak mendukung melampirkan kebijakan untuk sumber daya.
Menentukan elemen kebijakan: Sumber daya, tindakan, efek, dan penanggung jawab
Amazon Route 53 menyertakan API tindakan (lihat APIReferensi Amazon Route 53) yang dapat Anda gunakan di setiap sumber daya Route 53 (lihatARNsuntuk sumber daya Amazon Route 53). Anda dapat memberikan pengguna atau izin pengguna gabungan untuk melakukan salah satu atau semua tindakan ini. Perhatikan bahwa beberapa API tindakan, seperti mendaftarkan domain, memerlukan izin untuk melakukan lebih dari satu tindakan.
Berikut ini adalah elemen-elemen kebijakan dasar:
-
Sumber Daya — Anda menggunakan Nama Sumber Daya Amazon (ARN) untuk mengidentifikasi sumber daya yang berlaku untuk kebijakan tersebut. Untuk informasi selengkapnya, lihat ARNsuntuk sumber daya Amazon Route 53.
-
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada
Effectyang ditentukan, izinroute53:CreateHostedZonememungkinkan atau menolak izin pengguna untuk melakukan tindakanCreateHostedZoneRoute 53. -
Efek – Anda menentukan efeknya, apakah mengizinkan atau menolak, ketika pengguna mencoba melakukan tindakan pada sumber daya tertentu. Jika Anda tidak secara eksplisit memberikan akses ke suatu tindakan, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses hibah kebijakan yang berbeda.
-
Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). Route 53 tidak mendukung kebijakan berbasis sumber daya.
Untuk informasi selengkapnya tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.
Untuk tabel yang menunjukkan semua API operasi Route 53 dan sumber daya yang diterapkan, lihatAPIIzin Amazon Route 53: Referensi tindakan, sumber daya, dan kondisi.
Menentukan kondisi dalam kebijakan
Saat memberikan izin, Anda dapat menggunakan bahasa IAM kebijakan untuk menentukan kapan kebijakan harus diterapkan. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat elemen IAM JSON kebijakan: Kondisi dalam Panduan IAM Pengguna.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Tidak ada tombol syarat khusus untuk Route 53. Namun, ada tombol kondisi AWS lebar yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS lebar, lihat Kunci yang tersedia untuk kondisi di Panduan IAM Pengguna.
