Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di condizioni di policy IAM per il controllo granulare degli accessi
In Route 53 puoi specificare le condizioni durante la concessione delle autorizzazioni utilizzando una policy IAM (consulta [Controllo accessi](security-iam.md#access-control)). Ad esempio, puoi:
+ Concedi le autorizzazioni per consentire l'accesso a un singolo set di record di risorse.
+ Concedi le autorizzazioni per consentire agli utenti di accedere a tutti i set di record di risorse di un tipo di record DNS specifico in una zona ospitata, ad esempio i record A e AAAA.
+ Concedi le autorizzazioni per consentire agli utenti di accedere a un set di record di risorse in cui il nome contiene una stringa specifica.
+ Concedi le autorizzazioni per consentire agli utenti di eseguire solo un sottoinsieme delle `CREATE | UPSERT | DELETE` azioni sulla console Route 53 o quando utilizzano l'API. [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html)
+ Concedi le autorizzazioni per consentire agli utenti di associare o dissociare zone ospitate private da un particolare VPC.
+ Concedi le autorizzazioni per consentire agli utenti di elencare le zone ospitate associate a un particolare VPC.
+ Concedi le autorizzazioni per consentire agli utenti di accedere per creare una nuova zona ospitata privata e associarla a un particolare VPC.
+ Concedi le autorizzazioni per consentire agli utenti di creare o eliminare un'autorizzazione di associazione VPC.
+ Concedi le autorizzazioni per consentire agli utenti di gestire (associate/disassociate/update) solo tipi di risorse specifici con un profilo Route 53.
+ Concedi le autorizzazioni per consentire agli utenti di gestire (associate/disassociate/update) solo risorse specifiche ARNs con un profilo Route 53.
+ Concedi le autorizzazioni per consentire agli utenti di gestire (associate/disassociate/update) solo domini di zone ospitate specifici con un profilo Route 53.
+ Concedi le autorizzazioni per consentire agli utenti di gestire (associate/disassociate/update) solo domini Resolver Rule specifici con un profilo Route 53.
+ Concedi le autorizzazioni per consentire agli utenti di gestire (associate/disassociate/update) i gruppi di regole del firewall con un intervallo di priorità specifico in un profilo Route 53.
+ Concedi le autorizzazioni per consentire agli utenti di gestire (associare/dissociare) un profilo Route 53 con specifici. VPCs
Puoi anche creare autorizzazioni che combinano tutte le autorizzazioni granulari.
## Normalizzazione dei valori chiave delle condizioni della Route 53
I valori inseriti per le condizioni della policy devono essere formattati o normalizzati come segue:
**Per `route53:ChangeResourceRecordSetsNormalizedRecordNames`:**
+ Tutte le lettere devono essere minuscole.
+ Il nome DNS non deve avere un punto finale.
+ I caratteri diversi da a-z, 0-9, - (trattino), \$1 (trattino basso) e . (punto, come delimitatore tra le etichette) devono utilizzare i codici escape nel formato \$1codice ottale a tre cifre. Ad esempio, `\052 ` è il codice ottale per il carattere \$1.
**Per `route53:ChangeResourceRecordSetsActions`, il valore può essere uno dei seguenti e deve essere in maiuscolo:**
+ CREATE
+ UPSERT
+ DELETE
**Per `route53:ChangeResourceRecordSetsRecordTypes`**:
+ Il valore deve essere in maiuscolo e può essere uno qualsiasi dei tipi di record DNS supportati da Route 53. Per ulteriori informazioni, consulta [Tipi di record DNS supportati](ResourceRecordTypes.md).
**Per `route53:VPCs`:**
+ Il valore deve essere nel formato di`VPCId=,VPCRegion=`.
+ Il valore di `` e `` deve essere in lettere minuscole, ad esempio e`VPCId=vpc-123abc`. `VPCRegion=us-east-1`
+ Le chiavi e i valori di contesto fanno distinzione tra maiuscole e minuscole.
**Importante**
Affinché le tue autorizzazioni consentano o limitino le azioni come desideri, devi seguire queste convenzioni. Solo `VPCId` gli `VPCRegion` elementi sono accettati da questa chiave di condizione, tutte AWS le altre risorse, ad esempio Account AWS, non sono supportate.
**Infatti`route53profiles:ResourceTypes`, il valore può essere uno dei seguenti e fa distinzione tra maiuscole e minuscole:**
+ HostedZone
+ FirewallRuleGroup
+ ResolverQueryLoggingConfig
+ ResolverRule
+ VPCEndpoint
**Per `route53profiles:ResourceArns`:**
+ Il valore deve essere un ARN di AWS risorsa valido, ad esempio. `arn:aws:route53:::hostedzone/Z12345`
+ Utilizzate l'operatore di `ArnLike` condizione `ArnEquals` o per confrontare i valori ARN.
**Per `route53profiles:HostedZoneDomains`:**
+ Il valore deve essere un nome di dominio valido, ad esempio`example.com`.
+ Il nome di dominio deve essere privo del punto finale.
+ Questi valori fanno distinzione tra maiuscole e minuscole.
**Per `route53profiles:ResolverRuleDomains`:**
+ Il valore deve essere un nome di dominio valido, ad esempio`example.com`.
+ Il nome di dominio deve essere privo del punto finale.
+ Questi valori fanno distinzione tra maiuscole e minuscole.
**Per `route53profiles:FirewallRuleGroupPriority`:**
+ Il valore deve essere un valore numerico che rappresenta la priorità del Firewall Rule Group.
+ Utilizza operatori di condizione numerici come `NumericEquals``NumericGreaterThanEquals`, o `NumericLessThanEquals` per confrontare i valori di priorità o definire un intervallo di priorità.
**Per `route53profiles:ResourceIds`:**
+ Il valore deve essere un ID VPC valido, ad esempio. `vpc-1a2b3c4d5e6f`
+ Questi valori fanno distinzione tra maiuscole e minuscole.
Puoi utilizzare l’[Analizzatore di accessi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) o il [Simulatore di policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) nella *Guida per l'utente di IAM* per accertarti che la policy conceda o limiti le autorizzazioni come previsto. Puoi verificare le autorizzazioni anche applicando una policy IAM a un utente o ruolo di test che esegua le operazioni di Route 53.
## Specifica delle condizioni: uso delle chiavi di condizione
AWS fornisce un set di chiavi di condizione predefinite (AWS-wide condition keys) per tutti i AWS servizi che supportano IAM per il controllo degli accessi. Ad esempio, puoi utilizzare la chiave di condizione `aws:SourceIp` per controllare l'indirizzo IP del richiedente prima che un'operazione venga effettuata. Per ulteriori informazioni e per un elenco completo delle chiavi AWS generiche, consulta [Chiavi disponibili per le condizioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *Guida per l'utente di IAM*.
**Nota**
Route 53 non supporta le chiavi di condizione basate su tag.
La tabella seguente mostra le chiavi di condizione specifiche del servizio Route 53 che si applicano a Route 53.
****
| Chiave di condizione di Route 53 | operazioni API | Value type (Tipo di valore) | Description |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalore | Rappresenta un elenco di nomi di record DNS nella richiesta di. ChangeResourceRecordSets Per ottenere il comportamento previsto, i nomi DNS nella policy IAM devono essere normalizzati come segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalore | Rappresenta un elenco di tipi di record DNS nella richiesta di `ChangeResourceRecordSets`. `ChangeResourceRecordSetsRecordTypes` può essere uno qualsiasi dei tipi di record DNS supportati da Route 53. Per ulteriori informazioni, consulta [Tipi di record DNS supportati](ResourceRecordTypes.md). Quanto riportato nella policy deve essere tutto maiuscolo. |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multivalore | Rappresenta un elenco di operazioni nella richiesta di `ChangeResourceRecordSets`. `ChangeResourceRecordSetsActions` può essere uno dei seguenti valori (deve essere in maiuscolo): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [Associare VPCWith HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [Dissociarsi VPCFrom HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [Crea autorizzazione VPCAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [VPCAssociationAutorizzazione di eliminazione](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | Multivalore | Rappresenta un elenco di VPCs nella richiesta di AssociateVPCWithHostedZoneDisassociateVPCFromHostedZone, ListHostedZonesByVPCCreateHostedZone,CreateVPCAssociationAuthorization,, eDeleteVPCAssociationAuthorization, nel formato "VPCId=, VPCRegion = |
| route53profiles:ResourceTypes | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Stringa | Filtra l'accesso per tipo di risorsa specifico. `route53profiles:ResourceTypes`può essere uno dei seguenti valori (distinzione tra maiuscole e minuscole): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:ResourceArns | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) | ARN | Filtra l'accesso per risorsa specifica ARNs. |
| route53profiles:HostedZoneDomains | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Stringa | Filtra l'accesso in base ai domini Hosted Zone. Per ottenere il comportamento previsto, i nomi di dominio nella policy IAM devono essere normalizzati come segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:ResolverRuleDomains | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Stringa | Filtra l'accesso in base ai domini Resolver Rule. Per ottenere il comportamento previsto, i nomi di dominio nella policy IAM devono essere normalizzati come segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:FirewallRuleGroupPriority | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | Numerico | Filtra l'accesso in base all'intervallo di priorità di un gruppo di regole del firewall. |
| route53profiles:ResourceIds | [AssociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateProfile.html) [DisassociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateProfile.html) | Stringa | Filtra l'accesso per dato VPCs. |
## Policy di esempio: utilizzo di condizioni per l'accesso granulare
Ognuno degli esempi presenti in questa sezione imposta la clausola Effect su Allow (Consenti) e specifica solo le operazioni, le risorse e i parametri permessi. L'accesso è consentito solo a ciò che è elencato esplicitamente nella policy IAM.
In alcuni casi è possibile riscrivere queste policy in modo che si basino sul rifiuto (vale a dire impostare la clausola Effect su Deny e invertire tutta la logica nella policy). Tuttavia, ti consigliamo di evitare di utilizzare le policy basate sul rifiuto poiché sono difficili da scrivere correttamente in confronto alle policy basate sul permesso. Ciò è particolarmente vero per Route 53 a causa della normalizzazione del testo che è richiesta.
**Concessione delle autorizzazioni che limitano l'accesso ai record DNS con nomi specifici**
La seguente policy di autorizzazione concede le autorizzazioni che consentono operazioni `ChangeResourceRecordSets` sulla zona ospitata Z12345 per example.com e marketing.example.com. Utilizza la chiave di condizione `route53:ChangeResourceRecordSetsNormalizedRecordNames` per limitare le azioni dell'utente solo sui record che corrispondono ai nomi specificati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` è un operatore di condizioni IAM che si applica alle chiavi con più valori. La condizione indicata nella policy precedente consentirà l'operazione solo quando tutte le modifiche apportate in `ChangeResourceRecordSets` hanno il nome DNS di esempio.com. Per ulteriori informazioni, consulta [Operatori di condizione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) e [Condizione IAM con più chiavi o valori](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) nella Guida per l'utente di IAM.
Per implementare l'autorizzazione che abbina i nomi a determinati suffissi, puoi utilizzare il carattere jolly IAM (\$1) nella policy con operatore di condizione `StringLike` o `StringNotLike`. La seguente policy consentirà l'operazione quando tutte le modifiche apportate nell'operazione `ChangeResourceRecordSets` ha nomi DNS che terminano con "-beta.esempio.com".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**Nota**
Il carattere jolly IAM non è uguale al carattere jolly del nome di dominio. Consulta il seguente esempio per informazioni su come utilizzare il carattere jolly con un nome di dominio.
**Concedi autorizzazioni che limitano l'accesso ai record DNS che corrispondono a un nome di dominio contenente un carattere jolly**
La seguente policy di autorizzazione concede le autorizzazioni che consentono operazioni `ChangeResourceRecordSets` sulla zona ospitata Z12345 per esempio.com. Utilizza la chiave di condizione `route53:ChangeResourceRecordSetsNormalizedRecordNames` per limitare le azioni dell'utente solo ai record che corrispondono a \$1.esempio.com.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` è il codice ottale per il carattere \$1 nel nome DNS, e `\` in `\052` è sottoposto a escape in modo da essere `\\` per seguire la sintassi JSON.
**Concessione delle autorizzazioni che limitano l'accesso a record DNS specifici**
La seguente policy di autorizzazione concede le autorizzazioni che consentono operazioni `ChangeResourceRecordSets` sulla zona ospitata Z12345 per esempio.com. Utilizza la combinazione di tre chiavi di condizione per limitare le azioni dell'utente e consentire solo la creazione o la modifica di record DNS con determinati nomi e tipi DNS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**Concessione delle autorizzazioni che limitano l'accesso alla creazione e alla modifica dei soli tipi di record DNS specificati**
La seguente policy di autorizzazione concede le autorizzazioni che consentono operazioni `ChangeResourceRecordSets` sulla zona ospitata Z12345 per esempio.com. Utilizza la chiave di condizione `route53:ChangeResourceRecordSetsRecordTypes` per limitare le azioni dell'utente solo sui record che corrispondono ai tipi specificati (A e AAAA).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**Concedi autorizzazioni che specificano il VPC in cui il principale IAM può operare**
La seguente politica di autorizzazioni concede autorizzazioni che consentono`AssociateVPCWithHostedZone`,, `DisassociateVPCFromHostedZone` `ListHostedZonesByVPC` `CreateHostedZone``CreateVPCAssociationAuthorization`, e `DeleteVPCAssociationAuthorization` azioni sul VPC specificato da vpc-id.
**Importante**
Il valore della condizione deve essere nel formato di. `VPCId=,VPCRegion=` Se si specifica un ARN VPC nel valore della condizione, la chiave di condizione non avrà effetto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
**Importante**
Le chiavi delle `route53profiles` condizioni sono disponibili Regioni AWS ovunque sia disponibile Route 53 Route53Profiles, ad eccezione di me-central-1 e me-south-1.
**Concedi autorizzazioni che limitano l'associazione delle risorse a tipi di risorse specifici nei profili Route 53**
La seguente politica di autorizzazioni concede autorizzazioni `AssociateResourceToProfile` e `DisassociateResourceFromProfile` azioni solo quando il tipo di risorsa è una zona ospitata. Utilizza la chiave `route53profiles:ResourceTypes` condition per limitare i tipi di risorse che possono essere associati a un profilo.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResourceTypes": "HostedZone"
}
}
}
```
**Concedi autorizzazioni che limitano l'associazione delle risorse a risorse specifiche ARNs nei profili di Route 53**
La seguente politica di autorizzazioni concede autorizzazioni `AssociateResourceToProfile` e `DisassociateResourceFromProfile` azioni solo per l'ARN della risorsa specificata. Utilizza la chiave `route53profiles:ResourceArns` condition per limitare le risorse che possono essere associate a un profilo.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"route53profiles:ResourceArns": "arn:aws:route53:::hostedzone/Z12345"
}
}
}
```
**Concedi autorizzazioni che limitano l'associazione delle risorse a domini di zone ospitate specifici nei profili Route 53**
La seguente politica di autorizzazioni concede autorizzazioni `AssociateResourceToProfile` consentite e `UpdateProfileResourceAssociation` azioni solo quando il dominio della zona ospitata corrisponde al valore specificato. `DisassociateResourceFromProfile` Utilizza la chiave `route53profiles:HostedZoneDomains` condition per limitare i domini delle zone ospitate che possono essere associati a un profilo.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:HostedZoneDomains": "example.com"
}
}
}
```
**Concedi autorizzazioni che limitano l'associazione delle risorse a specifici domini Resolver Rule nei profili Route 53**
La seguente politica di autorizzazioni concede autorizzazioni che consentono e `UpdateProfileResourceAssociation` azioni solo quando il `AssociateResourceToProfile` dominio `DisassociateResourceFromProfile` Resolver Rule corrisponde al valore specificato. Utilizza la chiave `route53profiles:ResolverRuleDomains` condition per limitare i domini Resolver Rule che possono essere associati a un profilo.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResolverRuleDomains": "example.com"
}
}
}
```
**Concedi autorizzazioni che limitano l'associazione del Firewall Rule Group a un intervallo di priorità specifico nei profili Route 53**
La seguente politica di autorizzazioni concede autorizzazioni che consentono `AssociateResourceToProfile` e `UpdateProfileResourceAssociation` azioni solo quando la priorità del Firewall Rule Group rientra nell'intervallo specificato. `DisassociateResourceFromProfile` Utilizza la chiave `route53profiles:FirewallRuleGroupPriority` condition per limitare i valori di priorità che possono essere utilizzati.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"NumericGreaterThanEquals": {
"route53profiles:FirewallRuleGroupPriority": "100"
}
}
}
```
**Concedi autorizzazioni che limitano l'associazione dei profili a specifici profili VPCs in Route 53**
La seguente politica di autorizzazioni concede autorizzazioni `AssociateProfile` e `DisassociateProfile` azioni solo per il VPC specificato. Utilizza la chiave `route53profiles:ResourceIds` condition per limitare a quale VPCs profilo può essere associato.
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:DisassociateProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResourceIds": "vpc-1a2b3c4d5e6f"
}
}
}
```