ARNsper le risorse Amazon Route 53 Informazioni sulla proprietà delle risorse Gestione dell'accesso alle risorse Definizione degli elementi delle policy: risorse, operazioni, effetti ed entità principali Specifica delle condizioni in una policy

Panoramica della gestione delle autorizzazioni di accesso alle risorse di Amazon Route 53

Ogni AWS risorsa è di proprietà di un AWS account e le autorizzazioni per creare o accedere a una risorsa sono regolate da politiche di autorizzazione.

Nota

Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni sugli amministratori, consulta le IAM best practice nella Guida per l'IAMutente.

Quando concedi le autorizzazioni, devi specificare gli utenti che le riceveranno e le risorse per cui le concedi, nonché le operazioni specifiche per cui ottengono le autorizzazioni.

Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti in IAM Identity Center)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti in IAM Identity Center)

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.

IAM

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti.
Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Argomenti

ARNsper le risorse Amazon Route 53
Informazioni sulla proprietà delle risorse
Gestione dell'accesso alle risorse
Definizione degli elementi delle policy: risorse, operazioni, effetti ed entità principali
Specifica delle condizioni in una policy

ARNsper le risorse Amazon Route 53

Amazon Route 53 supporta una varietà di tipi di risorse per DNS il controllo dello stato e la registrazione di domini. In una policy, puoi concedere o negare l'accesso alle seguenti risorse utilizzando * for theARN:

Controlli dell'integrità
Zona ospitata
Set di deleghe riutilizzabili
Batch di modifica dello stato di un set di record di risorse (APIsolo)
Policy di traffico (flusso di traffico)
Istanze di policy di traffico (flusso di traffico)

Non tutte le risorse Route 53 supportano le autorizzazioni. Non puoi concedere o negare l'accesso alle risorse seguenti:

Domini
Singoli record
Tag per domini
Tag per i controlli dell'integrità
Tag per hosted zone

Route 53 fornisce API azioni per lavorare con ciascuno di questi tipi di risorse. Per ulteriori informazioni, consulta Amazon Route 53 API Reference. Per un elenco delle azioni e delle ARN informazioni da te specificate per concedere o negare l'autorizzazione a utilizzare ciascuna azione, consultaAPIAutorizzazioni Amazon Route 53: riferimento ad azioni, risorse e condizioni.

Informazioni sulla proprietà delle risorse

Un AWS account possiede le risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario della risorsa è l' AWS account dell'entità principale (ovvero l'account root o un IAM ruolo) che autentica la richiesta di creazione delle risorse.

Negli esempi seguenti viene illustrato il funzionamento:

Se utilizzi le credenziali dell'account root del tuo AWS account per creare una zona ospitata, l' AWS account è il proprietario della risorsa.
Se crei un utente nel tuo AWS account e concedi le autorizzazioni per creare una zona ospitata a quell'utente, l'utente può creare una zona ospitata. Tieni presente tuttavia che il tuo account AWS è il proprietario della risorsa della zona ospitata.
Se crei un IAM ruolo nel tuo AWS account con le autorizzazioni per creare una zona ospitata, chiunque possa assumere il ruolo può creare una zona ospitata. Il tuo AWS account, a cui appartiene il ruolo, possiede la risorsa della zona ospitata.

Gestione dell'accesso alle risorse

Una policy di autorizzazione specifica chi ha accesso a cosa. In questa sezione sono descritte le opzioni per la creazione di policy relative alle autorizzazioni per Amazon Route 53. Per informazioni generali sulla sintassi e le descrizioni delle IAM politiche, consulta il riferimento alle AWS IAM politiche nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità vengono definite politiche basate sull'identità (politiche) e IAM le politiche allegate a una risorsa vengono definite politiche basate sulle risorse. Route 53 supporta solo politiche (politiche) basate sull'identità. IAM

Argomenti

Politiche basate sull'identità (politiche) IAM
Policy basate su risorse

Politiche basate sull'identità (politiche) IAM

È possibile allegare politiche alle identità. IAM Ad esempio, puoi eseguire le operazioni seguenti:

Collega una policy di autorizzazione a un utente o a un gruppo nell'account: un amministratore account può utilizzare una policy di autorizzazione associata a un utente specifico per concedere autorizzazioni per tale utente al fine di creare risorse di Amazon Route 53.
Associare una politica di autorizzazioni a un ruolo (concedere autorizzazioni per più account): è possibile concedere l'autorizzazione per eseguire azioni Route 53 a un utente creato da un altro account. AWS A tal fine, si allega una politica di autorizzazioni a un IAM ruolo e quindi si consente all'utente dell'altro account di assumere il ruolo. L'esempio seguente spiega come questo funziona per due account AWS , account A e account B:
1. Account Un amministratore crea un IAM ruolo e attribuisce al ruolo una politica di autorizzazioni che concede le autorizzazioni per creare o accedere a risorse di proprietà dell'account A.
2. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo. La policy di attendibilità identifica l'account B come l'identità principale che può assumere il ruolo.
3. L'amministratore dell'account B può delegare le autorizzazioni di assumere il ruolo a qualsiasi degli utenti o gruppi nell'account B. In questo modo gli utenti nell'account B possono creare o accedere a risorse nell'account A.
Per ulteriori informazioni su come delegare le autorizzazioni agli utenti di un altro AWS account, consulta Gestione degli accessi nella Guida per l'utente. IAM

L'esempio di policy seguente consente a un utente di eseguire l'operazione CreateHostedZone per creare una zona ospitata pubblica per qualsiasi account AWS :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Se desideri che la policy si applichi anche alle zone ospitate private, devi concedere le autorizzazioni per utilizzare l'AssociateVPCWithHostedZoneazione Route 53 e due EC2 azioni Amazon DescribeVpcs eDescribeRegion, come mostrato nell'esempio seguente:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Per ulteriori informazioni su come collegare policy alle identità per Route 53, consulta Utilizzo di politiche (IAMpolitiche) basate sull'identità per Amazon Route 53. Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'IAMutente.

Policy basate su risorse

Anche altri servizi, come Amazon S3, supportano il collegamento di policy di autorizzazioni alle risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. Amazon Route 53 non supporta il collegamento di policy alle risorse.

Definizione degli elementi delle policy: risorse, operazioni, effetti ed entità principali

Amazon Route 53 include API azioni (vedi Amazon Route 53 API Reference) che puoi utilizzare su ogni risorsa Route 53 (vediARNsper le risorse Amazon Route 53). Puoi concedere a un utente o a un utente federato le autorizzazioni per eseguire una o tutte queste operazioni. Tieni presente che alcune API azioni, come la registrazione di un dominio, richiedono le autorizzazioni per eseguire più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

Risorsa: utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta ARNsper le risorse Amazon Route 53.
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda dell'Effect specificato, l'autorizzazione route53:CreateHostedZone consente o rifiuta all'utente la possibilità di eseguire l'operazione CreateHostedZone di Route 53.
Effetto - Specifichi l'effetto (autorizzazione o rifiuto) quando un utente prova a eseguire l'operazione sulla risorsa specificata. Se non concedi esplicitamente l'accesso a un'operazione, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
Principio: nelle politiche basate sull'identità (IAMpolicy), l'utente a cui è associata la policy è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). Route 53 non supporta le policy basate su risorse.

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM politiche, consulta il riferimento alle AWS IAM politiche nella Guida per l'utente. IAM

Per una che mostra tutte le API operazioni della Route 53 e le risorse a cui si applicano, vedereAPIAutorizzazioni Amazon Route 53: riferimento ad azioni, risorse e condizioni.

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare il linguaggio delle IAM policy per specificare quando una policy deve avere effetto. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Elementi IAM JSON della politica: Condizione nella Guida per l'IAMutente.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per Route 53. Tuttavia, esistono AWS ampi tasti di condizione che è possibile utilizzare in base alle esigenze. Per un elenco completo dei tasti AWS larghi, consulta Tasti disponibili per le condizioni nella Guida per l'IAMutente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dell'identità e degli accessi

Utilizzo di IAM politiche per Route 53