As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e acesso no Amazon Route 53
Para realizar qualquer operação nos recursos do Amazon Route 53, como registrar um domínio ou atualizar um registro, o AWS Identity and Access Management (IAM) exige que você autentique que é um usuário aprovado AWS . Se estiver usando o console do Route 53, autentique sua identidade fornecendo seu nome de usuário e senha da AWS .
Depois de autenticar sua identidade, o IAM controla seu acesso ao AWS verificando se você tem permissões para realizar operações e acessar recursos. Se você for o administrador da conta, poderá usar o IAM para controlar o acesso de outros usuários aos recursos que estão associados à sua conta.
Este capítulo explica como usar o [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e o Route 53 para ajudar a proteger seus recursos.
**Topics**
+ [Autenticação com identidades](#security_iam_authentication)
+ [Controle de acesso](#access-control)
+ [Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Route 53](access-control-overview.md)
+ [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Route 53](access-control-managing-permissions.md)
+ [Usando funções vinculadas ao serviço para Amazon Route 53 Resolver](using-service-linked-roles.md)
+ [AWS políticas gerenciadas para o Amazon Route 53](security-iam-awsmanpol-route53.md)
+ [Uso de condições de política do IAM para controle de acesso refinado](specifying-conditions-route53.md)
+ [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md)
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Controle de acesso
Para criar, atualizar, excluir ou indicar recursos do Amazon Route 53, você precisa de permissões para executar a operação e para acessar os recursos correspondentes.
As seções a seguir descrevem como gerenciar permissões para o Route 53. Recomendamos que você leia a visão geral primeiro.
**Topics**
# Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Route 53
Cada AWS recurso pertence a uma AWS conta, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões.
**nota**
*Administrador de conta* (ou usuário administrador) é um usuário com privilégios correspondentes. Para obter mais informações sobre administradores, consulte [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Manual do usuário do IAM*.
Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações que eles podem executar.
Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do Console de gerenciamento da AWS. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.
Para conceder acesso programático aos usuários, selecione uma das seguintes opções:
****
| Qual usuário precisa de acesso programático? | Para | Por |
| --- | --- | --- |
| IAM | (Recomendado) Use as credenciais do console como credenciais temporárias para assinar solicitações programáticas para o AWS CLI, AWS SDKs ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/access-control-overview.html) |
| Identidade da força de trabalho (Usuários gerenciados no Centro de Identidade do IAM) | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs | Siga as instruções em [Como usar credenciais temporárias com AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) no Guia do usuário do IAM. |
| IAM | (Não recomendado)Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs | Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [ARNs para recursos do Amazon Route 53](#access-control-resources)
+ [Informações sobre propriedade de recursos](#access-control-owner)
+ [Gerenciamento de acesso aos recursos](#access-control-manage-access-intro)
+ [Especificar os elementos da política: recursos, ações, efeitos e principais](#access-control-specify-r53-actions)
+ [Especificar condições em uma política](#specifying-conditions)
## ARNs para recursos do Amazon Route 53
O Amazon Route 53 oferece suporte a diversos tipos de recursos para DNS, verificação de integridade e registro de domínio. Em uma política, você pode conceder ou negar acesso aos seguintes recursos usando `*` para o ARN:
+ Verificações de integridade
+ Zonas hospedadas
+ Conjuntos de delegações reutilizáveis
+ Status de um lote de alterações de conjunto de registros de recursos (somente API)
+ Políticas de tráfego (fluxo de tráfego)
+ Instâncias de política de tráfego (fluxo de tráfego)
Nem todos os recursos do Route 53 oferecem suporte a permissões. Você não pode conceder ou negar acesso aos seguintes recursos:
+ Domínios
+ Registros individuais
+ Tags para domínios
+ Tags para verificações de integridade
+ Tags para zonas hospedadas
O Route 53 fornece ações de API para trabalhar com cada um desses tipos de recurso. Para obter mais informações, consulte [Referência de API do Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/). Para visualizar uma lista de ações e ARNs que podem ser especificadas para conceder ou negar permissão para usar cada ação, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
## Informações sobre propriedade de recursos
Uma AWS conta possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é a AWS conta da entidade principal (ou seja, a conta raiz ou uma função do IAM) que autentica a solicitação de criação do recurso.
Os seguintes exemplos mostram como isso funciona:
+ Se você usar as credenciais da conta raiz da sua AWS conta para criar uma zona hospedada, sua AWS conta é a proprietária do recurso.
+ Se você criar um usuário em sua AWS conta e conceder permissões para criar uma zona hospedada para esse usuário, o usuário poderá criar uma zona hospedada. No entanto, a conta da AWS à qual o usuário pertence é proprietária do recurso da zona hospedada.
+ Se você criar uma função do IAM em sua AWS conta com permissões para criar uma zona hospedada, qualquer pessoa que possa assumir a função poderá criar uma zona hospedada. Sua AWS conta, à qual a função pertence, é proprietária do recurso de zona hospedada.
## Gerenciamento de acesso aos recursos
Uma *política de permissões* especifica quem tem acesso a quê. Esta seção explica as opções para criar políticas de permissões do Amazon Route 53. Para obter informações gerais sobre a sintaxe e as descrições de política do IAM, consulte a [Referência da política do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
As políticas associadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM) e as políticas associadas a um recurso são conhecidas como políticas *baseadas em recurso*. O Route 53 oferece suporte apenas às políticas baseadas em identidade (políticas do IAM).
**Topics**
+ [Políticas baseadas em identidade (políticas do IAM)](#access-control-manage-access-intro-iam-policies)
+ [Políticas baseadas em recursos](#access-control-manage-access-intro-resource-policies)
### Políticas baseadas em identidade (políticas do IAM)
É possível anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
+ **Anexar uma política de permissões a um usuário ou grupo na sua conta**: um administrador de conta pode usar uma política de permissões associada a um determinado usuário para conceder permissões para que esse usuário crie recursos do Amazon Route 53.
+ **Anexe uma política de permissões a uma função (conceda permissões entre contas)** — Você pode conceder permissão para realizar ações do Route 53 a um usuário que foi criado por outra AWS conta. Para fazer isso, anexe uma política de permissões a uma função do IAM e permita que o usuário da outra conta assuma a função. O exemplo a seguir explica como isso funciona para duas contas da AWS , conta A e conta B:
1. O administrador da conta A cria uma função do IAM e anexa à função uma política de permissões que concede permissões para criar ou acessar recursos de propriedade da conta A.
1. O administrador da conta A associa uma política de confiança à função. A política de confiança identifica a conta B como a principal que pode assumir a função.
1. O administrador da conta B pode delegar permissões para assumir a função para usuários ou grupos na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A.
Para obter mais informações sobre como delegar permissões a usuários em outra AWS conta, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
A política de exemplo a seguir permite que um usuário execute a ação `CreateHostedZone` para criar uma zona hospedada pública para qualquer conta da AWS :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
Para que a política também se aplique a zonas hospedadas privadas, você precisa conceder permissões para usar a ação `AssociateVPCWithHostedZone` do Route 53 e duas ações do Amazon EC2, `DescribeVpcs` e `DescribeRegion`, conforme mostrado no exemplo a seguir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre como associar políticas a identidades para o Route 53, consulte [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Route 53](access-control-managing-permissions.md). Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Manual do usuário do IAM*.
### Políticas baseadas em recursos
Outros produtos, como o Amazon S3, também permitem a anexação de políticas de permissões aos recursos. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O Amazon Route 53 não oferece suporte para anexar políticas a recursos.
## Especificar os elementos da política: recursos, ações, efeitos e principais
O Amazon Route 53 inclui ações de API (consulte a [Referência de API do Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/)) que você pode usar em cada recurso do Route 53 (consulte [ARNs para recursos do Amazon Route 53](#access-control-resources)). Você pode conceder a um usuário ou a um usuário federado permissões para executar uma ou todas essas ações. Observe que algumas ações de API, como registrar um domínio, exigem permissões para executar mais de uma ação.
Estes são os elementos de política básicos:
+ **Recurso**: use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte [ARNs para recursos do Amazon Route 53](#access-control-resources).
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que você deseja permitir ou negar. Por exemplo, dependendo do `Effect` especificado, a permissão `route53:CreateHostedZone` permite ou nega a um usuário a capacidade de executar a ação `CreateHostedZone` do Route 53.
+ **Efeito**: você especifica o efeito, permitir ou negar, quando um usuário tenta executar a ação no recurso especificado. Se você não conceder acesso explícito a uma ação, o acesso será negado implicitamente. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O Route 53 não é compatível com políticas baseadas em recursos.
Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte [Referência da política do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para obter uma lista em mostrando todas as operações da API do Route 53 e os recursos aos quais elas se aplicam, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
## Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política de acesso, consulte [Elementos de política do IAM JSON: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Manual do usuário do IAM*.
Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do Route 53. No entanto, existem chaves AWS de condição amplas que você pode usar conforme necessário. Para obter uma lista completa de chaves AWS largas, consulte [Chaves disponíveis para condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
# Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Route 53
Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM e, dessa forma, conceder permissões para executar operações em recursos do Amazon Route 53.
**Importante**
Recomendamos que você analise primeiramente os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do Route 53. Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Route 53](access-control-overview.md).
**nota**
Ao conceder acesso, a zona hospedada e a Amazon VPC devem pertencer à mesma partição. Uma partição é um grupo de Regiões da AWS. Cada uma Conta da AWS tem como escopo uma partição.
Estas são as partições compatíveis:
`aws` - Regiões da AWS
`aws-cn`: regiões da China
`aws-us-gov` - AWS GovCloud (US) Region
Para obter mais informações, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) e [Cotas e endpoints do Amazon Route 53](https://docs.aws.amazon.com/general/latest/gr/r53.html) na *Referência geral da AWS *.
**Topics**
+ [Permissões necessárias para usar o console do Amazon Route 53](#console-required-permissions)
+ [Permissões de exemplo para um proprietário de registro de domínio](#example-permissions-record-owner)
+ [Permissões de chave gerenciada pelo cliente do Route 53 necessárias para assinatura DNSSEC](#KMS-key-policy-for-DNSSEC)
+ [Exemplos de política gerenciada pelo cliente](#access-policy-examples-for-sdk-cli)
A seguir, um exemplo de uma política de permissões. O `Sid`, ou o ID de instrução, é opcional:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AllowPublicHostedZonePermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:UpdateHostedZoneComment",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:DeleteHostedZone",
"route53:ChangeResourceRecordSets",
"route53:ListResourceRecordSets",
"route53:GetHostedZoneCount",
"route53:ListHostedZonesByName"
],
"Resource": "*"
},
{
"Sid" : "AllowHealthCheckPermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:GetHealthCheck",
"route53:ListHealthChecks",
"route53:DeleteHealthCheck",
"route53:GetCheckerIpRanges",
"route53:GetHealthCheckCount",
"route53:GetHealthCheckStatus",
"route53:GetHealthCheckLastFailureReason"
],
"Resource": "*"
}
]
}
```
------
A política inclui duas instruções:
+ A primeira instrução concede permissões para as ações necessárias para criar e gerenciar zonas hospedadas públicas e seus registros. O caractere curinga (\$1) no Amazon Resource Name (ARN) concede acesso a todas as zonas hospedadas que pertencem à AWS conta atual.
+ A segunda instrução concede permissões para todas as ações necessárias para criar e gerenciar verificações de integridade.
Para visualizar uma lista de ações e ARNs que podem ser especificadas para conceder ou negar permissão para usar cada ação, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
## Permissões necessárias para usar o console do Amazon Route 53
Para conceder acesso total ao console do Amazon Route 53, conceda as permissões na seguinte política de permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:*",
"route53domains:*",
"tag:*",
"ssm:GetParametersByPath",
"cloudfront:ListDistributions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"sns:CreateTopic",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateKey",
"kms:CreateAlias",
"kms:Sign",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
Veja por que as permissões são necessárias:
**`route53:*`**
Permite que você execute todas as ações do Route 53, *com exceção* das seguintes:
+ Crie e atualize registros de alias para os quais o valor de **Alias Target** seja uma CloudFront distribuição, um balanceador de carga do Elastic Load Balancing, um ambiente do Elastic Beanstalk ou um bucket do Amazon S3. (Com essas permissões, você pode criar registros de alias para os quais o valor de **Alvo do alias** é outro registro na mesma zona hospedada.)
+ Como trabalhar com zonas hospedadas privadas.
+ Trabalhando com domínios.
+ Crie, exclua e visualize CloudWatch alarmes.
+ CloudWatch Métricas de renderização no console do Route 53.
**`route53domains:*`**
Permite que você trabalhe com domínios.
Se você relacionar as ações `route53` individualmente, deverá incluir `route53:CreateHostedZone` para trabalhar com domínios. Quando você registra um domínio, uma zona hospedada é criada ao mesmo tempo. Portanto, uma política que inclui permissões para registrar domínios também requer permissão para criar zonas hospedadas.
Para o registro de domínio, o Route 53 não oferece suporte à concessão ou negação de permissões para recursos individuais.
**`route53resolver:*`**
Permite trabalhar com o Route 53 VPC Resolver.
**`ssm:GetParametersByPath`**
Permite que você busque regiões disponíveis publicamente ao criar novos registros de alias, zonas hospedadas privadas e verificações de integridade.
**`cloudfront:ListDistributions`**
Permite criar e atualizar registros de alias para os quais o valor de **Alias Target** é uma CloudFront distribuição.
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 utiliza-o apenas para obter uma lista de distribuições para exibir no console.
**`elasticloadbalancing:DescribeLoadBalancers`**
Permite que você crie e atualize registros de alias para os quais o valor de **Alvo do alias** é um load balancer do ELB.
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 usa-o apenas para obter uma lista de balanceadores de carga para exibir no console.
**`elasticbeanstalk:DescribeEnvironments`**
Permite que você crie e atualize registros com alias para os quais o valor de **Alias Target** (Destino do alias) é um ambiente do Elastic Beanstalk.
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 usa-o apenas para obter uma lista de ambientes para exibir no console.
**`s3:ListAllMyBuckets`, `s3:GetBucketLocation`, e `s3:GetBucketWebsite`**
Permite que você crie e atualize registros com alias para os quais o valor de **Alias Target** (Destino do alias) é um bucket do Amazon S3. (Você só poderá criar um alias para um bucket do Amazon S3 se o bucket estiver configurado como um endpoint do site. `s3:GetBucketWebsite` obtém as informações de configuração necessárias.)
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 utiliza-o apenas para obter uma lista de buckets para exibir no console.
**`ec2:DescribeVpcs` e `ec2:DescribeRegions`**
Permite que você trabalhe com zonas hospedadas privadas.
**Todas as permissões `ec2` listadas**
Deixe você trabalhar com o Route 53 VPC Resolver.
**`sns:ListTopics`, `sns:ListSubscriptionsByTopic`, `sns:CreateTopic`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms`**
Permite criar, excluir e visualizar CloudWatch alarmes.
**`cloudwatch:GetMetricStatistics`**
Permite criar verificações CloudWatch métricas de integridade.
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 usa-o apenas para obter as estatísticas a serem exibidas no console.
**`apigateway:GET`**
Permite que você crie e atualize registros de alias para os quais o valor de **Alias Target** (Destino do alias) é uma API do Amazon API Gateway.
Essa permissão não é necessária se você não estiver usando o console do Route 53. O Route 53 o usa somente para obter uma lista de APIs itens a serem exibidos no console.
**`kms:*`**
Permite que você trabalhe com o DNSSEC AWS KMS para habilitar a assinatura do DNSSEC.
## Permissões de exemplo para um proprietário de registro de domínio
Com as permissões do conjunto de registros de recursos, você pode definir permissões granulares que limitam o que o AWS usuário pode atualizar ou modificar. Para obter mais informações, consulte [Uso de condições de política do IAM para controle de acesso refinado](specifying-conditions-route53.md).
Em alguns cenários, um proprietário de zona hospedada pode ser responsável pelo gerenciamento geral da zona hospedada, enquanto outra pessoa na organização é responsável por um subconjunto dessas tarefas. Um proprietário de zona hospedada que habilitou a assinatura do DNSSEC, por exemplo, pode querer criar uma política do IAM que inclua a permissão para que outra pessoa adicione e exclua Resource Set Records (RRs) na zona hospedada, entre outras tarefas. As permissões específicas que um proprietário de zona hospedada escolhe habilitar para um proprietário de registro ou outras pessoas dependerão da política de sua organização.
Veja a seguir um exemplo de política do IAM que permite que o proprietário do registro faça modificações em políticas de tráfego e verificações de saúde. RRs Um proprietário de registro com essa política não tem permissão para realizar operações em nível de região, como criar ou excluir uma zona, habilitar ou desabilitar o log de consultas, criar ou excluir um conjunto de delegações reutilizáveis ou alterar configurações de DNSSEC.
```
{
"Sid": "Do not allow zone-level modification ",
"Effect": "Allow",
"Action": [
"route53:ChangeResourceRecordSets",
"route53:CreateTrafficPolicy",
"route53:DeleteTrafficPolicy",
"route53:CreateTrafficPolicyInstance",
"route53:CreateTrafficPolicyVersion",
"route53:UpdateTrafficPolicyInstance",
"route53:UpdateTrafficPolicyComment",
"route53:DeleteTrafficPolicyInstance",
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck",
"route53:List*",
"route53:Get*"
],
"Resource": [
"*"
]
}
```
## Permissões de chave gerenciada pelo cliente do Route 53 necessárias para assinatura DNSSEC
Quando você ativa a assinatura do DNSSEC para o Route 53, o Route 53 cria uma chave de assinatura de chave (KSK) com base em uma chave gerenciada pelo cliente em (). AWS Key Management Service AWS KMS Você pode usar uma chave gerenciada pelo cliente existente que suporte a assinatura de DNSSEC ou criar uma nova. O Route 53 deve ter permissão para acessar sua chave gerenciada pelo cliente para que ele possa criar o KSK para você.
Para habilitar o Route 53 para acessar sua chave gerenciada pelo cliente, verifique se a diretiva de chave gerenciada pelo cliente contém as seguintes instruções:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:DescribeKey",
"kms:GetPublicKey",
"kms:Sign"],
"Resource": "*"
},
{
"Sid": "Allow Route 53 DNSSEC to CreateGrant",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:CreateGrant"],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
```
O problema de representante confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Para se AWS KMS proteger disso, você pode, opcionalmente, limitar as permissões que um serviço tem para um recurso em uma política baseada em recursos fornecendo uma combinação de `aws:SourceAccount` `aws:SourceArn` condições (ambas ou uma). `aws:SourceAccount`é o ID da AWS conta de um proprietário de uma zona hospedada. `aws:SourceArn`é um ARN de uma zona hospedada.
Veja a seguir dois exemplos de permissões que podem ser adicionadas:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/HOSTED_ZONE_ID"
}
}
},
```
- Ou -
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["1111-2222-3333","4444-5555-6666"]
},
"ArnLike": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/*"
}
}
},
```
Para obter mais informações, consulte [O problema confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) no *Guia do usuário IAM*.
## Exemplos de política gerenciada pelo cliente
Você pode criar suas próprias políticas personalizadas do IAM para conceder permissões para ações do Route 53. Você pode anexar essas políticas personalizadas a grupos do IAM que exijam as permissões especificadas. Essas políticas funcionam quando você está usando a API do Route 53 AWS SDKs, a ou a AWS CLI. Os exemplos a seguir mostram permissões para vários casos de uso comuns. Para a política que concede acesso total de um usuário ao Route 53, consulte [Permissões necessárias para usar o console do Amazon Route 53](#console-required-permissions).
**Topics**
+ [Exemplo 1: permitir acesso de leitura a todas as zonas hospedadas](#access-policy-example-allow-read-hosted-zones)
+ [Exemplo 2: permitir criação e exclusão de zonas hospedadas](#access-policy-example-allow-create-delete-hosted-zones)
+ [Exemplo 3: permitir acesso total a todos os domínios (somente zonas hospedadas públicas)](#access-policy-example-allow-full-domain-access)
+ [Exemplo 4: Permitir a criação de endpoints de entrada e saída do Route 53 VPC Resolver](#access-policy-example-create-resolver-endpoints)
### Exemplo 1: permitir acesso de leitura a todas as zonas hospedadas
A política de permissões a seguir concede as permissões de usuário para listar todas as zonas hospedadas e visualizar todos os registros em uma zona hospedada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:GetHostedZone",
"route53:ListResourceRecordSets"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:ListHostedZones"],
"Resource":"*"
}
]
}
```
------
### Exemplo 2: permitir criação e exclusão de zonas hospedadas
A política de permissões a seguir permite que os usuários criem e excluam zonas hospedadas assim como acompanhem o andamento da alteração.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["route53:CreateHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:DeleteHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:GetChange"],
"Resource":"*"
}
]
}
```
------
### Exemplo 3: permitir acesso total a todos os domínios (somente zonas hospedadas públicas)
A política de permissões a seguir permite que os usuários executem todas as ações em registros de domínio, incluindo permissões para registrar domínios e criar zonas hospedadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53domains:*",
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
Quando você registra um domínio, uma zona hospedada é criada ao mesmo tempo. Assim, uma política que inclui permissões para registrar domínios também requer permissões para criar zonas hospedadas. (Para o registro de domínio, o Route 53 não oferece suporte à concessão de permissões para recursos individuais.)
Para obter informações sobre permissões necessárias para trabalhar com zonas hospedadas privadas, consulte [Permissões necessárias para usar o console do Amazon Route 53](#console-required-permissions).
### Exemplo 4: Permitir a criação de endpoints de entrada e saída do Route 53 VPC Resolver
A política de permissões a seguir permite que os usuários usem o console do Route 53 para criar endpoints de entrada e saída do Resolver.
Algumas dessas permissões são necessárias apenas para criar endpoints no console. Você pode omitir essas permissões se desejar conceder permissões somente para criar endpoints de entrada e saída de forma programática:
+ `route53resolver:ListResolverEndpoints` permite que os usuários vejam a lista de endpoints de entrada ou saída para que possam verificar se um endpoint foi criado.
+ `DescribeAvailabilityZones` é necessário para exibir uma lista de zonas de disponibilidade.
+ `DescribeVpcs`é necessário para exibir uma lista deVPCs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53resolver:CreateResolverEndpoint",
"route53resolver:ListResolverEndpoints",
"ec2:CreateNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# Usando funções vinculadas ao serviço para Amazon Route 53 Resolver
O Route 53 VPC Resolver usa funções vinculadas a [serviços AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada a serviços é um tipo exclusivo de função do IAM vinculada diretamente ao VPC Resolver. As funções vinculadas ao serviço são predefinidas pelo VPC Resolver e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do VPC Resolver porque você não precisa adicionar manualmente as permissões necessárias. O VPC Resolver define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o VPC Resolver pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Você pode excluir um perfil vinculado ao serviço somente depois de excluir os atributos relacionados. Isso protege seus recursos do VPC Resolver porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros produtos que oferecem suporte às funções vinculadas a produtos, consulte [Produtos da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os produtos que contêm **Yes** (Sim) na coluna **Service-Linked Role** (Função vinculada ao produto). Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
**Topics**
+ [Permissões de função vinculadas ao serviço para o VPC Resolver](#slr-permissions)
+ [Criação de uma função vinculada ao serviço para o VPC Resolver](#create-slr)
+ [Editando uma função vinculada ao serviço para o VPC Resolver](#edit-slr)
+ [Excluindo uma função vinculada ao serviço para o VPC Resolver](#delete-slr)
+ [Regiões compatíveis com funções vinculadas ao serviço VPC Resolver](#slr-regions)
## Permissões de função vinculadas ao serviço para o VPC Resolver
O VPC Resolver usa a função **`AWSServiceRoleForRoute53Resolver`**vinculada ao serviço para fornecer registros de consulta em seu nome.
A política de permissões de função permite que o VPC Resolver conclua as seguintes ações em seus recursos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups",
"s3:GetBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
## Criação de uma função vinculada ao serviço para o VPC Resolver
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma associação de configuração do log de consultas do resolvedor no console do Amazon Route 53, o AWS CLI, ou a AWS API, o VPC Resolver cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o serviço VPC Resolver antes de 12 de agosto de 2020, quando ele começou a oferecer suporte a funções vinculadas a serviços, o VPC Resolver criou a função em sua conta. `AWSServiceRoleForRoute53Resolver` Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria uma associação de configuração de log de consulta do Resolver, a função vinculada ao produto do `AWSServiceRoleForRoute53Resolver` é criada para você novamente.
## Editando uma função vinculada ao serviço para o VPC Resolver
O VPC Resolver não permite que você edite a função vinculada ao `AWSServiceRoleForRoute53Resolver` serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para o VPC Resolver
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o serviço VPC Resolver estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do VPC Resolver usados pelo `AWSServiceRoleForRoute53Resolver`**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Expanda o menu do console do Route 53. No canto superior esquerdo do console, escolha o ícone de três barras horizontais (![\[Menu icon\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/images/menu-icon.png)).
1. No menu do **Resolver**, escolha **Query logging** (Log de consultas).
1. Marque a caixa de seleção ao lado do nome da configuração do log de consultas e escolha **Delete** (Excluir).
1. Na caixa de texto **Delete query logging configuration** (Excluir configuração de log de consultas), selecione **Stop logging queries** (Interromper consultas de log).
Isso desassociará a configuração da VPC. Você também pode desassociar a configuração de log de consulta de forma programada. Para obter mais informações, consulte [disassociate-resolver-query-log-config](https://docs.aws.amazon.com//cli/latest/reference/route53resolver/disassociate-resolver-query-log-config.html).
1. Depois que as consultas de log forem interrompidas, você poderá digitar opcionalmente **delete** no campo e escolher **Delete** (Excluir) para excluir a configuração do log de consultas. No entanto, isso não é necessário para excluir os recursos usados pelo `AWSServiceRoleForRoute53Resolver`.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função `AWSServiceRoleForRoute53Resolver` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões compatíveis com funções vinculadas ao serviço VPC Resolver
O VPC Resolver não oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Você pode usar a função `AWSServiceRoleForRoute53Resolver` nas seguintes regiões.
****
| Nome da região | Identidade da região | Support no VPC Resolver |
| --- | --- | --- |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| China (Pequim) | cn-north-1 | Sim |
| China (Ningxia) | cn-northwest-1 | Sim |
| AWS GovCloud (US) | us-gov-east-1 | Sim |
| AWS GovCloud (US) | us-gov-west-1 | Sim |
# AWS políticas gerenciadas para o Amazon Route 53
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonRoute 53 FullAccess
É possível anexar a política `AmazonRoute53FullAccess` às suas identidades do IAM.
Essa política concede acesso total aos recursos do Route 53, incluindo registro de domínio e verificação de integridade, mas excluindo o VPC Resolver.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `route53:*`: permite que você execute todas as ações do Route 53 *com exceção* das seguintes:
+ Crie e atualize registros de alias para os quais o valor de **Alias Target** seja uma CloudFront distribuição, um balanceador de carga do Elastic Load Balancing, um ambiente do Elastic Beanstalk ou um bucket do Amazon S3. (Com essas permissões, você pode criar registros de alias para os quais o valor de **Alvo do alias** é outro registro na mesma zona hospedada.)
+ Como trabalhar com zonas hospedadas privadas.
+ Trabalhando com domínios.
+ Crie, exclua e visualize CloudWatch alarmes.
+ Renderize CloudWatch métricas no console do Route 53.
+ `route53domains:*`: permite que você trabalhe com domínios.
+ `cloudfront:ListDistributions`— Permite criar e atualizar registros de alias para os quais o valor de **Alias Target** é uma CloudFront distribuição.
Esta permissão não é necessária se você não estiver usando o console do Route 53. O Route 53 usa-o apenas para obter uma lista de distribuições para exibir no console.
+ `cloudfront:GetDistributionTenantByDomain`**— Usado para buscar as distribuições CloudFront multilocatárias para permitir que você crie e atualize registros de alias para os quais o valor de Alias Target seja um inquilino de distribuição.** CloudFront
+ `cloudfront:GetConnectionGroup`**— Usado para buscar as distribuições CloudFront multilocatárias para permitir que você crie e atualize registros de alias para os quais o valor de Alias Target seja um inquilino de distribuição.** CloudFront
+ `cloudwatch:DescribeAlarms`— Junto com `sns:ListTopics` e`sns:ListSubscriptionsByTopic`, permite criar, excluir e visualizar CloudWatch alarmes.
+ `cloudwatch:GetMetricStatistics`— Permite criar verificações CloudWatch métricas de integridade.
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 usa-o apenas para obter as estatísticas a serem exibidas no console.
+ `cloudwatch:GetMetricData`— Permite exibir o status de suas métricas de verificação de CloudWatch saúde.
+ `ec2:DescribeVpcs`— Permite exibir uma lista de VPCs.
+ `ec2:DescribeVpcEndpoints`: permite exibir uma lista de endpoints da VPC.
+ `ec2:DescribeRegions`: permite que você exiba uma lista de zonas de disponibilidade.
+ `elasticloadbalancing:DescribeLoadBalancers`: permite que você crie e atualize registros de alias para os quais o valor de **Alias Target** (Destino do alias) é um balanceador de carga do Elastic Load Balancing.
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 usa-o apenas para obter uma lista de balanceadores de carga para exibir no console.
+ `elasticbeanstalk:DescribeEnvironments`: permite que você crie e atualize registros com alias para os quais o valor de **Alias Target** (Destino do alias) é um ambiente do Elastic Beanstalk.
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 usa-o apenas para obter uma lista de ambientes para exibir no console.
+ `es:ListDomainNames`— Permite exibir os nomes de todos os domínios do Amazon OpenSearch Service pertencentes ao usuário atual na região ativa.
+ `es:DescribeDomains`— Permite que você obtenha a configuração do domínio para os domínios especificados do Amazon OpenSearch Service.
+ `lightsail:GetContainerServices`— Permite que você use os serviços de contêiner do Lightsail para criar e atualizar registros de alias para os quais o valor de Alias Target é um domínio **do** Lightsail.
+ `s3:ListBucket`, `s3:GetBucketLocation` e `s3:GetBucketWebsite`: permite que você crie e atualize registros com alias para os quais o valor de **Alias Target** (Destino do alias) é um bucket do Amazon S3. (Você só poderá criar um alias para um bucket do Amazon S3 se o bucket estiver configurado como um endpoint do site. `s3:GetBucketWebsite` obtém as informações de configuração necessárias.)
Essas permissões não são necessárias se você não estiver usando o console do Route 53. O Route 53 as utiliza apenas para obter uma lista de buckets para exibir no console.
+ `sns:ListTopics`,`sns:ListSubscriptionsByTopic`, `cloudwatch:DescribeAlarms` — Permite criar, excluir e visualizar CloudWatch alarmes.
+ `tag:GetResources`: permite exibir as etiquetas nos seus recursos. Por exemplo, nomes de suas verificações de integridade.
+ `apigateway:GET`: permite que você crie e atualize registros de alias para os quais o valor de **Alias Target** (Destino do alias) é uma API do Amazon API Gateway.
Para obter mais informações sobre as permissões, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS política gerenciada: AmazonRoute 53 ReadOnlyAccess
É possível anexar a política `AmazonRoute53ReadOnlyAccess` às suas identidades do IAM.
Essa política concede acesso somente para leitura aos recursos do Route 53, incluindo registro de domínio e verificação de integridade, mas excluindo o VPC Resolver.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `route53:Get*`: obtém os recursos do Route 53.
+ `route53:List*`: lista os recursos do Route 53.
+ `route53:TestDNSAnswer`: obtém o valor que o Route 53 retorna em resposta a uma solicitação de DNS.
Para obter mais informações sobre as permissões, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonRoute 53 DomainsFullAccess
É possível anexar a política `AmazonRoute53DomainsFullAccess` às suas identidades do IAM.
Esta política concede acesso total aos recursos de registro de domínio do Route 53.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `route53:CreateHostedZone`: permite que você crie uma zona hospedada do Route 53.
+ `route53domains:*`: permite registrar nomes de domínio e executar operações relacionadas.
Para obter mais informações sobre as permissões, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonRoute 53 DomainsReadOnlyAccess
É possível anexar a política `AmazonRoute53DomainsReadOnlyAccess` às suas identidades do IAM.
Esta política concede acesso somente leitura a recursos de registro de domínio do Route 53.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `route53domains:Get*`: permite recuperar uma lista de domínios do Route 53.
+ `route53domains:List*`: permite exibir uma lista de domínios do Route 53.
Para obter mais informações sobre as permissões, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonRoute 53 ResolverFullAccess
É possível anexar a política `AmazonRoute53ResolverFullAccess` às suas identidades do IAM.
Essa política concede acesso total aos recursos do Route 53 VPC Resolver.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `route53resolver:*`— Permite criar e gerenciar recursos do VPC Resolver no console do Route 53.
+ `ec2:DescribeSubnets`: permite que você liste suas sub-redes da Amazon VPC.
+ `ec2:CreateNetworkInterface`,`ec2:DeleteNetworkInterface`, e `ec2:ModifyNetworkInterfaceAttribute`: permite criar, modificar e excluir interfaces de rede.
+ `ec2:DescribeNetworkInterfaces`: permite que você exiba uma lista de interfaces de rede.
+ `ec2:DescribeSecurityGroups`: permite que você exiba uma lista de todos os seus grupos de segurança.
+ `ec2:DescribeVpcs`— Permite exibir uma lista de VPCs.
+ `ec2:DescribeAvailabilityZones`: permite listar as zonas que estão disponíveis para você.
Para obter mais informações sobre as permissões, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonRoute 53 ResolverReadOnlyAccess
É possível anexar a política `AmazonRoute53ResolverReadOnlyAccess` às suas identidades do IAM.
Essa política concede acesso somente de leitura aos recursos do Route 53 VPC Resolver.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `route53resolver:Get*`— Obtém recursos do VPC Resolver.
+ `route53resolver:List*`— Permite exibir uma lista de recursos do VPC Resolver.
+ `ec2:DescribeNetworkInterfaces`: permite que você exiba uma lista de interfaces de rede.
+ `ec2:DescribeSecurityGroups`: permite que você exiba uma lista de todos os seus grupos de segurança.
Para obter mais informações sobre as permissões, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gerenciada: Route53 ResolverServiceRolePolicy
Não é possível anexar a `Route53ResolverServiceRolePolicy` às entidades do IAM. Essa política é anexada a uma função vinculada a serviços que permite que o Route 53 VPC Resolver acesse AWS serviços e recursos que são usados ou gerenciados pelo VPC Resolver. Para obter mais informações, consulte [Usando funções vinculadas ao serviço para Amazon Route 53 Resolver](using-service-linked-roles.md).
## AWS política gerenciada: AmazonRoute 53 ProfilesFullAccess
É possível anexar a política `AmazonRoute53ProfilesReadOnlyAccess` às suas identidades do IAM.
Essa política concede acesso total aos recursos de perfil do Amazon Route 53.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `route53profiles`: permite criar e gerenciar recursos de perfil no console do Route 53.
+ `ec2`— Permite que os diretores obtenham informações sobre VPCs.
Para obter mais informações sobre as permissões, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonRoute 53 ProfilesReadOnlyAccess
É possível anexar a política `AmazonRoute53ProfilesReadOnlyAccess` às suas identidades do IAM.
Essa política concede acesso somente para leitura aos recursos de perfil do Amazon Route 53.
**Detalhes das permissões**
Para obter mais informações sobre as permissões, consulte [Permissões da API do Amazon Route 53: referência de ações, recursos e condições](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## Atualizações do Route 53 para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Route 53 desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Document history](History.md) (Histórico de documentos) do Route 53.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — Política atualizada | Adiciona permissões para `cloudwatch:GetMetricData` ,`tag:GetResources`, `es:ListDomainNames`, `es:DescribeDomains`, `cloudfront:GetDistributionTenantByDomain`, `cloudfront:GetConnectionGroup` e `lightsail:GetContainerServices`. Essas permissões permitem que você obtenha até 500 métricas de verificação de CloudWatch saúde, até 100 nomes de verificações de saúde, obtenha a configuração de domínio para os domínios específicos do Amazon OpenSearch Service e liste os nomes de todos os domínios do Amazon OpenSearch Service pertencentes ao usuário atual na região ativa, busque as CloudFront distribuições multilocatárias e obtenha os serviços de contêiner do Lightsail. | 01 de junho de 2025 |
| [AmazonRoute53 ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) — Política atualizada | Adiciona permissões para `GetProfilePolicy` e `PutProfilePolicy`. Essas são ações do IAM realizadas somente com permissão. Se um diretor do IAM não tiver essas permissões concedidas, ocorrerá um erro ao tentar compartilhar o perfil usando o AWS RAM serviço. | 27 de agosto de 2024 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — Política atualizada | Adiciona permissões para `GetProfilePolicy`. Essa é uma ação do IAM realizadas somente com permissão. Se um diretor do IAM não tiver essa permissão concedida, ocorrerá um erro ao tentar acessar a política do perfil usando o AWS RAM serviço. | 27 de agosto de 2024 |
| [AmazonRoute53 ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) — Política atualizada | Adicionado um ID de instrução (Sid) para identificar a política de modo exclusivo. | 5 de agosto de 2024 |
| [AmazonRoute53 ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) — Política atualizada | Adicionado um ID de instrução (Sid) para identificar a política de modo exclusivo. | 5 de agosto de 2024 |
| [AmazonRoute53 ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) — Nova política | O Amazon Route 53 adicionou uma nova política para permitir acesso total aos recursos de perfil do Amazon Route 53. | 22 de abril de 2024 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — Nova política | O Amazon Route 53 adicionou uma nova política para permitir acesso somente para leitura aos recursos de perfil do Amazon Route 53. | 22 de abril de 2024 |
| [Route53 ResolverServiceRolePolicy — Nova](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) política | O Amazon Route 53 adicionou uma nova política anexada a uma função vinculada a serviços que permite que o VPC Resolver acesse AWS serviços e recursos que são usados ou gerenciados pelo Resolver. | 14 de julho de 2021 |
| [AmazonRoute53 ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) — Nova política | O Amazon Route 53 adicionou uma nova política para permitir acesso somente de leitura aos recursos do VPC Resolver. | 14 de julho de 2021 |
| [AmazonRoute53 ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) — Nova política | O Amazon Route 53 adicionou uma nova política para permitir acesso total aos recursos do VPC Resolver. | 14 de julho de 2021 |
| [AmazonRoute53 DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) — Nova política | O Amazon Route 53 adicionou uma nova política para permitir acesso somente para leitura aos recursos de domínios do Amazon Route 53. | 14 de julho de 2021 |
| [AmazonRoute53 DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) — Nova política | O Amazon Route 53 adicionou uma nova política para permitir acesso total aos recursos de domínios do Amazon Route 53. | 14 de julho de 2021 |
| [AmazonRoute53 ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) — Nova política | O Amazon Route 53 adicionou uma nova política para permitir acesso somente para leitura aos recursos do Amazon Route 53. | 14 de julho de 2021 |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — Nova política | O Amazon Route 53 adicionou uma nova política para permitir acesso total aos recursos do Amazon Route 53. | 14 de julho de 2021 |
| O Route 53 começou a monitorar alterações | O Route 53 começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 14 de julho de 2021 |
# Uso de condições de política do IAM para controle de acesso refinado
No Route 53, é possível especificar as condições ao conceder permissões usando uma política do IAM (consulte [Controle de acesso](security-iam.md#access-control)). Por exemplo, você pode:
+ Conceda permissões para liberar o acesso a um único conjunto de registros de recursos.
+ Conceda permissões para liberar o acesso aos usuários a todos os conjuntos de registros de recursos de um tipo específico de registro DNS em uma zona hospedada, por exemplo, registros A e AAAA.
+ Conceda permissões para liberar o acesso aos usuários a um conjunto de registros de recursos em que seu nome contém uma string específica.
+ Conceda permissões para permitir que os usuários realizem somente um subconjunto das `CREATE | UPSERT | DELETE` ações no console do Route 53 ou ao usar a [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html)API.
+ Conceda permissões para que os usuários possam associar ou desassociar zonas hospedadas privadas de uma determinada VPC.
+ Conceda permissões para que os usuários possam listar as zonas hospedadas associadas a uma determinada VPC.
+ Conceda permissões para que os usuários tenham acesso para criar uma nova zona hospedada privada e associá-la a uma determinada VPC.
+ Conceda permissões para que os usuários possam criar ou excluir uma autorização de associação de VPC.
Você também pode criar permissões que combinam qualquer uma das permissões granulares.
## Normalização dos valores de chave de condição do Route 53
Os valores inseridos para as condições da política devem ser formatados ou normalizados da seguinte forma:
**Para `route53:ChangeResourceRecordSetsNormalizedRecordNames`:**
+ Todas as letras devem estar em minúscula.
+ O nome DNS deve estar sem o ponto final.
+ Caracteres que não sejam de A a Z, 0 a 9, - (hífen), \$1 (underline) e . (ponto final, como delimitador entre rótulos) deve usar códigos de escape no formato \$1código octal de três dígitos. Por exemplo, `\052 `é o código octal para o caractere \$1.
**Para `route53:ChangeResourceRecordSetsActions`, o valor pode ser qualquer um dos seguintes e deve estar em maiúsculas:**
+ CREATE
+ UPSERT
+ DELETE
** para `route53:ChangeResourceRecordSetsRecordTypes`**:
+ O valor deve estar em maiúsculas e pode ser qualquer um dos tipos de registro DNS compatíveis com o Route 53. Para obter mais informações, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md).
**Para `route53:VPCs`:**
+ O valor fornecido deve estar no formato de `VPCId=,VPCRegion=`.
+ O valor de `` e `` deve estar em letras minúsculas, como `VPCId=vpc-123abc` e `VPCRegion=us-east-1`.
+ As chaves e valores de contexto diferenciam maiúsculas de minúsculas.
**Importante**
Para que suas permissões liberem ou restrinjam as ações pretendidas, você deve seguir essas convenções. Somente `VPCRegion` elementos `VPCId` e elementos são aceitos por essa chave de condição; quaisquer outros AWS recursos, como Conta da AWS, não são suportados.
Você pode usar o [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) ou [Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) no *Guia de usuário do IAM* para validar que a política libera ou restringe as permissões conforme o esperado. Você também pode validar as permissões aplicando uma política do IAM a um usuário ou função de teste para realizar operações do Route 53.
## Especificar condições: usar chaves de condição
AWS fornece um conjunto de chaves de condição predefinidas (chaves AWS de condição abrangentes) para todos os AWS serviços que oferecem suporte ao IAM para controle de acesso. Por exemplo, você pode usar a condição de chave `aws:SourceIp` para verificar o endereço IP do solicitante antes de permitir que uma ação seja executada. Para obter mais informações e uma lista das chaves no âmbito da AWS, consulte [Chaves disponíveis para condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
**nota**
O Route 53 não é compatível com chaves de condição baseadas em tag.
A tabela a seguir mostra as chaves de condição específicas do serviço Route 53 que se aplicam ao Route 53.
****
| Chave de condição do Route 53 | Operações de API | Tipo de valor | Description |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Vários valores | Representa uma lista de nomes de registros DNS na solicitação deChangeResourceRecordSets. Para obter o comportamento esperado, os nomes DNS na política do IAM devem ser normalizados da seguinte forma: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Vários valores | Representa uma lista de tipos de registro DNS na solicitação de `ChangeResourceRecordSets`. `ChangeResourceRecordSetsRecordTypes` pode ser qualquer um dos tipos de registro DNS compatíveis com o Route 53. Para obter mais informações, consulte [Tipos de registro de DNS com suporte](ResourceRecordTypes.md). Todos devem ser inseridos em maiúsculas na política. |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Vários valores | Representa uma lista de ações na solicitação de `ChangeResourceRecordSets`. `ChangeResourceRecordSetsActions` pode ser qualquer um dos seguintes valores (deve estar em maiúsculas): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [Associado VPCWith HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [Desassociar VPCFrom HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [Criar VPCAssociation autorização](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [Excluir VPCAssociation autorização](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | Vários valores | Representa uma lista de VPCs na solicitação de AssociateVPCWithHostedZoneDisassociateVPCFromHostedZone,ListHostedZonesByVPC,CreateHostedZone,CreateVPCAssociationAuthorization, eDeleteVPCAssociationAuthorization, no formato de "VPCId=, VPCRegion = |
## Políticas de exemplo: usar condições para acesso refinado
Cada um dos exemplos nessa seção define a cláusula Effect (Efeito) como Allow (Permitir) e especifica apenas as ações, os recursos e os parâmetros permitidos. O acesso é permitido apenas para o que está listado explicitamente na política do IAM.
Em alguns casos, é possível reescrever essas políticas para que elas sejam baseadas em negação (ou seja, definindo a cláusula Effect (Efeito) como Deny (Negar) e invertendo toda a lógica na política). No entanto, recomendamos que você evite usar políticas baseadas em negação, pois elas são difíceis de escrever corretamente, em comparação às políticas baseadas em permissão. Pela necessidade de normalização do texto, isso é especialmente verdadeiro para o Route 53.
**Conceder permissões que limitam o acesso a registros DNS com nomes específicos**
A política de permissões a seguir concede permissões para as ações `ChangeResourceRecordSets` na zona hospedada Z12345 para exemplo.com e marketing.exemplo.com. Ele usa a chave de condição `route53:ChangeResourceRecordSetsNormalizedRecordNames` para limitar as ações do usuário somente nos registros que correspondem aos nomes especificados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` é um operador de condição do IAM que se aplica a chaves de vários valores. A condição na política acima permitirá a operação somente quando todas as alterações em `ChangeResourceRecordSets` tenham o nome DNS de example.com. Para obter mais informações, consulte [Operadores de condição do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) e [Condição do IAM com várias chaves ou valores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) no Guia do usuário do IAM.
Para implementar a permissão que combina nomes com determinados sufixos, você pode usar o coringa do IAM (\$1) na política com operador de condição `StringLike` ou `StringNotLike`. A política a seguir permitirá a operação quando todas as alterações na operação `ChangeResourceRecordSets` tiverem nomes DNS que terminam com “-beta.example.com”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**nota**
O coringa do IAM não é o mesmo que o coringa do nome de domínio. Veja o exemplo a seguir para saber como usar o coringa com um nome de domínio.
**Conceda permissões que limitam o acesso aos registros DNS que correspondem a um nome de domínio contendo um coringa**
A política de permissões a seguir concede permissões que possibilitam ações `ChangeResourceRecordSets` na zona hospedada Z12345 para example.com. Ele usa a chave de condição `route53:ChangeResourceRecordSetsNormalizedRecordNames` para limitar as ações do usuário somente aos registros que correspondam a \$1.example.com.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 `é o código octal para o caractere \$1 no nome DNS e `\` em `\052` escapou para ser `\\` para seguir a sintaxe JSON.
**Conceder permissões que limitam o acesso a determinados registros DNS**
A política de permissões a seguir concede permissões que possibilitam ações `ChangeResourceRecordSets` na zona hospedada Z12345 para example.com. Ele usa a combinação de três chaves de condição para limitar as ações do usuário e permitir somente a criação ou edição de registros DNS com determinado nome e tipo de DNS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**Conceder permissões que limitam o acesso à criação e edição apenas dos tipos especificados de registros DNS**
A política de permissões a seguir concede permissões que possibilitam ações `ChangeResourceRecordSets` na zona hospedada Z12345 para example.com. Ele usa a chave de condição `route53:ChangeResourceRecordSetsRecordTypes` para limitar as ações do usuário somente nos registros que correspondem aos tipos especificados (A e AAAA).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**Conceda permissões que especifiquem a VPC na qual a entidade principal do IAM pode operar**
A política de permissões a seguir concede permissões para as ações `AssociateVPCWithHostedZone`, `DisassociateVPCFromHostedZone`, `ListHostedZonesByVPC`, `CreateHostedZone`, `CreateVPCAssociationAuthorization` e `DeleteVPCAssociationAuthorization` na VPC especificada pelo vpc-id.
**Importante**
O valor de condição deve estar no formato de `VPCId=,VPCRegion=`. Se você especificar um ARN de VPC no valor de condição, a chave de condição não terá efeito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
# Permissões da API do Amazon Route 53: referência de ações, recursos e condições
*Ao configurar [Controle de acesso](security-iam.md#access-control) e escrever uma política de permissões que você pode anexar a uma identidade do IAM (políticas baseadas em identidade), você pode usar as listas de [ações, recursos e chaves de condição para o Route 53, ações, recursos e chaves](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html) [de condição para domínios do Route 53, ações, recursos e chaves](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53domains.html) [de condição para o VPC Resolver, e](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html) [ações, recursos e chaves de condição para perfis do Amazon Route 53 permitem compartilhar configurações de DNS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53profilesenablessharingdnssettingswithvpcs.html) na Referência de autorização de serviço. VPCs* As páginas incluem cada ação da API do Amazon Route 53, as ações às quais você deve conceder permissões de acesso e o AWS recurso ao qual você deve conceder acesso. Você especifica as ações no campo `Action` da política e o valor do recurso no campo `Resource` da política.
Você pode usar chaves de condição AWS-wide em suas políticas do Route 53 para expressar condições. Para obter uma lista completa AWS de chaves gerais, consulte [Chaves disponíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
**nota**
Ao conceder acesso, a zona hospedada e a Amazon VPC devem pertencer à mesma partição. Uma partição é um grupo de Regiões da AWS. Cada uma Conta da AWS tem como escopo uma partição.
Estas são as partições compatíveis:
`aws` - Regiões da AWS
`aws-cn`: regiões da China
`aws-us-gov` - AWS GovCloud (US) Region
Para obter mais informações, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) em *Referência geral da AWS *.
**nota**
Para especificar uma ação, use o prefixo aplicável (`route53`, `route53domains` ou `route53resolver`) seguido do nome de operação da API, por exemplo:
`route53:CreateHostedZone`
`route53domains:RegisterDomain`
`route53resolver:CreateResolverEndpoint`