本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 IAM 策略条件进行精细访问控制
在 Route 53 中,使用 IAM policy 授予权限时,您可以指定条件(请参阅 [访问控制](security-iam.md#access-control))。例如,您可以:
+ 授予权限以允许访问单个资源记录集。
+ 授予权限以允许用户访问托管区域中特定 DNS 记录类型的所有资源记录集,例如 A 和 AAAA 记录。
+ 授予权限以允许用户访问其名称包含特定字符串的资源记录集。
+ 授予权限以允许用户仅在 Route 53 控制台上或使用 [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html)API 时执行部分`CREATE | UPSERT | DELETE`操作。
+ 授予允许用户将私有托管区与特定 VPC 关联或取消关联的权限。
+ 授予允许用户将关联至特定 VPC 的托管区列示出来的权限。
+ 授予允许用户创建新的私有托管区并将其关联至特定 VPC 的权限。
+ 授予允许用户创建或删除 VPC 关联授权的权限。
+ 授予权限以允许用户使用 Route 53 配置文件仅管理 (associate/disassociate/update) 特定资源类型。
+ 授予权限以允许用户使用 Route 53 配置文件仅管理 (associate/disassociate/update) 特定资源 ARNs 。
+ 授予权限以允许用户使用 Route 53 配置文件仅管理 (associate/disassociate/update) 特定的托管区域域。
+ 授予权限以允许用户使用 Route 53 配置文件仅管理 (associate/disassociate/update) 特定的解析器规则域。
+ 授予权限以允许用户管理 Route 53 配置文件中具有特定优先级范围的 (associate/disassociate/update) 防火墙规则组。
+ 授予权限以允许用户管理(关联/取消关联)具有特定功能的 Route 53 配置文件。 VPCs
您还可以创建组合任意精细权限的权限。
## 标准化 Route 53 条件键值
您为策略条件输入的值必须格式化或标准化,如下所示:
**对于 `route53:ChangeResourceRecordSetsNormalizedRecordNames`:**
+ 所有字母必须为小写形式。
+ DNS 名称不得带有结尾圆点。
+ 除 a-z、0-9、-(连字符)、\$1(下划线)和 .(句点,作为标签之间的分隔符)以外的字符必须使用 \$1三位八进制代码格式的转义码。例如,`\052 ` 是字符 \$1 的八进制代码。
**对于 `route53:ChangeResourceRecordSetsActions`,该值可为以下任意值,且必须为大写:**
+ CREATE
+ UPSERT
+ DELETE
**对于 `route53:ChangeResourceRecordSetsRecordTypes`**:
+ 该值必须为大写,并且可以是 Route 53 支持的任何一种 DNS 记录类型。有关更多信息,请参阅 [支持的 DNS 记录类型](ResourceRecordTypes.md)。
**对于 `route53:VPCs`:**
+ 该值必须采用 `VPCId=,VPCRegion=` 格式。
+ `` 和 `` 的值必须为小写,比如 `VPCId=vpc-123abc` 和 `VPCRegion=us-east-1`。
+ 上下文键和值区分大小写。
**重要**
要获得按预期允许或限制操作的权限,您必须遵循以下约定。此条件键仅接受`VPCId`且`VPCRegion`元素,不支持任何其他 AWS 资源 AWS 账户,例如。
**对于`route53profiles:ResourceTypes`,该值可以是以下任意值,并且区分大小写:**
+ HostedZone
+ FirewallRuleGroup
+ ResolverQueryLoggingConfig
+ ResolverRule
+ VPCEndpoint
**对于 `route53profiles:ResourceArns`:**
+ 该值必须是有效的 AWS 资源 ARN,例如。`arn:aws:route53:::hostedzone/Z12345`
+ 比较 ARN 值时使用`ArnEquals`或`ArnLike`条件运算符。
**对于 `route53profiles:HostedZoneDomains`:**
+ 该值必须是有效的域名,例如`example.com`。
+ 域名必须没有尾随点。
+ 这些值区分大小写。
**对于 `route53profiles:ResolverRuleDomains`:**
+ 该值必须是有效的域名,例如`example.com`。
+ 域名必须没有尾随点。
+ 这些值区分大小写。
**对于 `route53profiles:FirewallRuleGroupPriority`:**
+ 该值必须是代表防火墙规则组优先级的数值。
+ 使用诸如`NumericEquals``NumericGreaterThanEquals`、或之类的数字条件运算符`NumericLessThanEquals`来比较优先级值或定义优先级范围。
**对于 `route53profiles:ResourceIds`:**
+ 该值必须是有效的 VPC ID,例如`vpc-1a2b3c4d5e6f`。
+ 这些值区分大小写。
您可以使用《*IAM 用户指南*》中的 [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) 或 [Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) 验证策略是否按预期授予或限制权限。您还可以通过将 IAM policy 应用于执行 Route 53 操作的测试用户或角色来验证权限。
## 指定条件:使用条件键
AWS 为所有支持 IAM 进行访问控制的 AWS 服务提供了一组预定义的条件键(AWS范围内的条件键)。例如,您可以先使用 `aws:SourceIp` 条件键检查请求者的 IP 地址,然后再允许执行操作。有关更多信息和 AWS范围条件键的列表,请参阅 *IAM 用户指南*中的[可用条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
**注意**
Route 53 不支持基于标签的条件键。
下表显示了适用于 Route 53 的 Route 53 服务专属条件键。
****
| Route 53 条件键 | API 操作 | 值类型 | 说明 |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 多值 | 表示请求中的 DNS 记录名称列表ChangeResourceRecordSets。要获得预期的行为,IAM policy 中的 DNS 名称必须标准化,如下所示: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 多值 | 表示 `ChangeResourceRecordSets` 请求中的 DNS 记录类型列表。 `ChangeResourceRecordSetsRecordTypes` 可以是 Route 53 支持的任何 DNS 记录类型。有关更多信息,请参阅 [支持的 DNS 记录类型](ResourceRecordTypes.md)。在策略中,所有内容必须以大写形式输入。 |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 多值 | 表示 `ChangeResourceRecordSets` 请求中的操作列表。 `ChangeResourceRecordSetsActions` 可为以下任意值(必须为大写): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [助理 VPCWith HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [取消关联 VPCFrom HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [创建VPCAssociation授权](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [删除VPCAssociation授权](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | 多值 | 表示请求 VPCs 中AssociateVPCWithHostedZone、、、DisassociateVPCFromHostedZoneListHostedZonesByVPCCreateHostedZoneCreateVPCAssociationAuthorization、和的列表DeleteVPCAssociationAuthorization,格式为 “VPCId=,VPCRegion= |
| route53profiles:ResourceTypes | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | 字符串 | 按特定资源类型筛选访问权限。 `route53profiles:ResourceTypes`可以是以下任意值(区分大小写): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:ResourceArns | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) | 进行筛选 | 按特定资源筛选访问权限 ARNs。 |
| route53profiles:HostedZoneDomains | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | 字符串 | 按托管区域域过滤访问权限。要获得预期行为,必须按以下方式对 IAM 策略中的域名进行标准化: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:ResolverRuleDomains | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | 字符串 | 按解析器规则域过滤访问权限。要获得预期行为,必须按以下方式对 IAM 策略中的域名进行标准化: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53profiles:FirewallRuleGroupPriority | [AssociateResourceToProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateResourceToProfile.html) [DisassociateResourceFromProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateResourceFromProfile.html) [UpdateProfileResourceAssociation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_UpdateProfileResourceAssociation.html) | 数值 | 按防火墙规则组的优先级范围筛选访问权限。 |
| route53profiles:ResourceIds | [AssociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_AssociateProfile.html) [DisassociateProfile](https://docs.aws.amazon.com/Route53/latest/APIReference/API_route53profiles_DisassociateProfile.html) | 字符串 | 按给定过滤访问权限 VPCs。 |
## 策略示例:使用条件实现精细访问
此部分中的每个示例均将 Effect 子句设置为 Allow,并且仅指定允许的操作、资源和参数。只允许访问 IAM policy 中明确列出的项目。
在某些情况下,可以重新编写这些策略以使其成为基于拒绝的策略(即将 Effect 子句设置为 Deny 并反转策略中的所有逻辑)。然而,我们建议您避免使用基于拒绝的策略,因为与基于允许的策略相比,它们难以编写正确。由于需要进行文本标准化,因此对于 Route 53 来说尤其如此。
**授予权限以限制访问具有特定名称的 DNS 记录**
以下权限策略授予允许对 example.com 和 marketing.example.com 的托管区 Z12345 执行 `ChangeResourceRecordSets` 操作的权限。它使用 `route53:ChangeResourceRecordSetsNormalizedRecordNames` 条件键,以限制用户仅对与指定名称匹配的记录执行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` 是一个适用于多值键的 IAM 条件运算符。仅当 `ChangeResourceRecordSets` 中所有更改的 DNS 名称均为 example.com 时,上述策略中的条件才允许该操作。有关更多信息,请参阅《IAM 用户指南》中的 [IAM 条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)和[具有多个键或值的 IAM 条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)。
要实现与具有特定后缀的名称相匹配的权限,可以在策略中使用 IAM 通配符(\$1)及条件运算符 `StringLike` 或 `StringNotLike`。当 `ChangeResourceRecordSets` 操作中所有更改的 DNS 名称均以“-beta.example.com”结尾时,以下策略将允许该操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**注意**
IAM 通配符与域名通配符不同。请参阅以下示例,了解如何将通配符与域名一起使用。
**授予权限,限制访问与包含通配符的域名相匹配的 DNS 记录**
以下权限策略授予允许对 example.com 的托管区 Z12345 执行 `ChangeResourceRecordSets` 操作的权限。它使用 `route53:ChangeResourceRecordSetsNormalizedRecordNames` 条件键,以限制用户仅对与 \$1.example.com 匹配的记录执行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` 是 DNS 名称中字符 \$1 的八进制代码,且 `\052` 中的 `\` 转义为 `\\` 以遵循 JSON 语法。
**授予权限以限制访问特定 DNS 记录**
以下权限策略授予允许对 example.com 的托管区 Z12345 执行 `ChangeResourceRecordSets` 操作的权限。它使用三个条件键的组合来限制用户操作,只允许创建或编辑具有特定 DNS 名称和类型的 DNS 记录。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**授予限制访问的权限,以仅创建和编辑指定类型的 DNS 记录**
以下权限策略授予允许对 example.com 的托管区 Z12345 执行 `ChangeResourceRecordSets` 操作的权限。它使用 `route53:ChangeResourceRecordSetsRecordTypes` 条件键,以限制用户仅对与指定类型匹配的记录执行操作(A 和 AAAA)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**授予指定 IAM 主体可以在其中操作的 VPC 的权限**
以下权限策略授予在 vpc-id 指定的 VPC 上允许 `AssociateVPCWithHostedZone`、`DisassociateVPCFromHostedZone`、`ListHostedZonesByVPC`、`CreateHostedZone`、`CreateVPCAssociationAuthorization` 和 `DeleteVPCAssociationAuthorization` 操作的权限。
**重要**
必须采用 `VPCId=,VPCRegion=` 格式提供条件值。如果在条件值中指定了 VPC ARN,则条件键不会生效。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
**重要**
除了 me-central-1 和 me-south-1 之外,所有可用 Route 53 Route53Profiles AWS 区域 的地方都可以使用`route53profiles`条件键。
**在 Route 53 配置文件中授予将资源关联限制为特定资源类型的权限**
以下权限策略仅在资源类型为托管区域时授予允许的权限`AssociateResourceToProfile`和`DisassociateResourceFromProfile`操作。它使用`route53profiles:ResourceTypes`条件键来限制可以与配置文件关联的资源类型。
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResourceTypes": "HostedZone"
}
}
}
```
**授予权限以限制资源关联到 Route 53 配置文件 ARNs 中的特定资源**
以下权限策略仅为指定资源 ARN 授予允许`AssociateResourceToProfile`和`DisassociateResourceFromProfile`操作的权限。它使用`route53profiles:ResourceArns`条件键来限制哪些资源可以与配置文件关联。
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"route53profiles:ResourceArns": "arn:aws:route53:::hostedzone/Z12345"
}
}
}
```
**在 Route 53 配置文件中授予限制资源关联到特定托管区域域的权限**
以下权限策略仅在托管区域域与指定值匹配时授予允许`AssociateResourceToProfile``DisassociateResourceFromProfile`、和`UpdateProfileResourceAssociation`操作的权限。它使用`route53profiles:HostedZoneDomains`条件键来限制哪些托管区域域可以与配置文件相关联。
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:HostedZoneDomains": "example.com"
}
}
}
```
**在 Route 53 配置文件中授予限制资源关联到特定解析器规则域的权限**
只有当 Resolver Rule 域与指定值匹配时 `AssociateResourceToProfile``DisassociateResourceFromProfile`,以下权限策略才会授予允许、和`UpdateProfileResourceAssociation`操作的权限。它使用`route53profiles:ResolverRuleDomains`条件键来限制哪些解析器规则域可以与配置文件相关联。
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResolverRuleDomains": "example.com"
}
}
}
```
**授予将防火墙规则组关联限制在 Route 53 配置文件中特定优先级范围的权限**
只有当防火墙规则组优先级在指定范围内时 `AssociateResourceToProfile``DisassociateResourceFromProfile`,以下权限策略才会授予允许、和`UpdateProfileResourceAssociation`操作的权限。它使用`route53profiles:FirewallRuleGroupPriority`条件键来限制可以使用的优先级值。
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateResourceToProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation"
],
"Resource": "*",
"Condition": {
"NumericGreaterThanEquals": {
"route53profiles:FirewallRuleGroupPriority": "100"
}
}
}
```
**授予将配置文件关联限制为 Route 53 配置文件 VPCs 中特定配置文件的权限**
以下权限策略仅为指定 VPC 授予允许的权限`AssociateProfile`和`DisassociateProfile`操作。它使用`route53profiles:ResourceIds`条件键来限制可以与哪些 VPCs 配置文件相关联。
```
{
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:DisassociateProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"route53profiles:ResourceIds": "vpc-1a2b3c4d5e6f"
}
}
}
```