Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Route 53 - Amazon Route 53
ARNspara recursos do Amazon Route 53Informações sobre propriedade de recursosGerenciar acesso aos recursos da Especificar os elementos da política: recursos, ações, efeitos e principaisEspecificar condições em uma política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Route 53

Cada AWS recurso pertence a uma AWS conta, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões.

nota

Administrador de conta (ou usuário administrador) é um usuário com privilégios correspondentes. Para obter mais informações sobre administradores, consulte as IAM melhores práticas no Guia do IAM usuário.

Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações que eles podem executar.

Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do AWS Management Console. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.

Para conceder acesso programático aos usuários, selecione uma das seguintes opções:

Qual usuário precisa de acesso programático? Para Por

Identificação da força de trabalho

(Usuários gerenciados no IAM Identity Center)

 Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs

Siga as instruções da interface que deseja utilizar.
IAM Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs Siga as instruções em Uso de credenciais temporárias com AWS recursos no Guia do IAM usuário.
IAM

(Não recomendado)

Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs

Siga as instruções da interface que deseja utilizar.

ARNspara recursos do Amazon Route 53

O Amazon Route 53 oferece suporte a uma variedade de tipos de recursos para DNS verificação de saúde e registro de domínio. Em uma política, você pode conceder ou negar acesso aos seguintes recursos usando * paraARN:

  • Verificações de integridade

  • Zonas hospedadas

  • Conjuntos de delegações reutilizáveis

  • Status de um lote de alteração do conjunto de registros de recursos (APIsomente)

  • Políticas de tráfego (fluxo de tráfego)

  • Instâncias de política de tráfego (fluxo de tráfego)

Nem todos os recursos do Route 53 oferecem suporte a permissões. Você não pode conceder ou negar acesso aos seguintes recursos:

  • Domínios

  • Registros individuais

  • Tags para domínios

  • Tags para verificações de integridade

  • Tags para zonas hospedadas

O Route 53 fornece API ações para trabalhar com cada um desses tipos de recursos. Para obter mais informações, consulte a APIReferência do Amazon Route 53. Para obter uma lista de ações e as ARN que você especifica para conceder ou negar permissão para usar cada ação, consulteAPIPermissões do Amazon Route 53: referência de ações, recursos e condições.

Informações sobre propriedade de recursos

Uma AWS conta possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é a AWS conta da entidade principal (ou seja, a conta raiz ou uma IAM função) que autentica a solicitação de criação do recurso.

Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da conta raiz da sua AWS conta para criar uma zona hospedada, sua AWS conta é a proprietária do recurso.

  • Se você criar um usuário em sua AWS conta e conceder permissões para criar uma zona hospedada para esse usuário, o usuário poderá criar uma zona hospedada. No entanto, a conta da AWS à qual o usuário pertence é proprietária do recurso da zona hospedada.

  • Se você criar uma IAM função em sua AWS conta com permissões para criar uma zona hospedada, qualquer pessoa que possa assumir a função poderá criar uma zona hospedada. Sua AWS conta, à qual a função pertence, é proprietária do recurso de zona hospedada.

Gerenciar acesso aos recursos da

Uma política de permissões especifica quem tem acesso a quê. Esta seção explica as opções para criar políticas de permissões do Amazon Route 53. Para obter informações gerais sobre a sintaxe e as descrições das IAM políticas, consulte a Referência AWS IAM de políticas no Guia do IAM usuário.

As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (IAMpolíticas), e as políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. O Route 53 suporta somente políticas baseadas em identidade (IAMpolíticas).

Políticas baseadas em identidade (políticas) IAM

Você pode anexar políticas às IAM identidades. Por exemplo, você pode fazer o seguinte:

  • Anexar uma política de permissões a um usuário ou grupo na sua conta: um administrador de conta pode usar uma política de permissões associada a um determinado usuário para conceder permissões para que esse usuário crie recursos do Amazon Route 53.

  • Anexe uma política de permissões a uma função (conceda permissões entre contas) — Você pode conceder permissão para realizar ações do Route 53 a um usuário que foi criado por outra AWS conta. Para fazer isso, você anexa uma política de permissões a uma IAM função e permite que o usuário na outra conta assuma a função. O exemplo a seguir explica como isso funciona para duas contas da AWS , conta A e conta B:

    1. O administrador da conta A cria uma IAM função e anexa à função uma política de permissões que concede permissões para criar ou acessar recursos pertencentes à conta A.

    2. O administrador da conta A associa uma política de confiança à função. A política de confiança identifica a conta B como a principal que pode assumir a função.

    3. O administrador da conta B pode delegar permissões para assumir a função para usuários ou grupos na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A.

    Para obter mais informações sobre como delegar permissões a usuários em outra AWS conta, consulte Gerenciamento de acesso no Guia do IAM usuário.

A política de exemplo a seguir permite que um usuário execute a ação CreateHostedZone para criar uma zona hospedada pública para qualquer conta da AWS :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Se você quiser que a política também se aplique a zonas hospedadas privadas, você precisa conceder permissões para usar a AssociateVPCWithHostedZone ação do Route 53 e duas EC2 ações da Amazon DescribeVpcs eDescribeRegion, conforme mostrado no exemplo a seguir:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Para obter mais informações sobre como associar políticas a identidades para o Route 53, consulte Usando políticas baseadas em identidade (IAMpolíticas) para o Amazon Route 53. Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do IAM usuário.

Políticas baseadas no recurso

Outros produtos, como o Amazon S3, também permitem a anexação de políticas de permissões aos recursos. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O Amazon Route 53 não oferece suporte para anexar políticas a recursos. 

Especificar os elementos da política: recursos, ações, efeitos e principais

O Amazon Route 53 inclui API ações (consulte a APIReferência do Amazon Route 53) que você pode usar em cada recurso do Route 53 (consulteARNspara recursos do Amazon Route 53). Você pode conceder a um usuário ou a um usuário federado permissões para executar uma ou todas essas ações. Observe que algumas API ações, como registrar um domínio, exigem permissões para realizar mais de uma ação.

Estes são os elementos de política básicos:

  • Recurso — Você usa um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte ARNspara recursos do Amazon Route 53.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que você deseja permitir ou negar. Por exemplo, dependendo do Effect especificado, a permissão route53:CreateHostedZone permite ou nega a um usuário a capacidade de executar a ação CreateHostedZone do Route 53.

  • Efeito: você especifica o efeito, permitir ou negar, quando um usuário tenta executar a ação no recurso especificado. Se você não conceder acesso explícito a uma ação, o acesso será negado implicitamente. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O Route 53 não é compatível com políticas baseadas em recursos.

Para obter mais informações sobre a sintaxe e as descrições das IAM políticas, consulte a Referência AWS IAM de políticas no Guia do IAM usuário.

Para obter uma de tabelas mostrando todas as API operações do Route 53 e os recursos aos quais elas se aplicam, consulteAPIPermissões do Amazon Route 53: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da IAM política para especificar quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre a especificação de condições em um idioma de política, consulte elementos IAM JSON da política: Condição no Guia do IAM usuário.

Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do Route 53. No entanto, existem chaves AWS de condição amplas que você pode usar conforme necessário. Para obter uma lista completa de teclas AWS largas, consulte Teclas disponíveis para ver as condições no Guia IAM do usuário.