本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 Amazon Route 53 資源存取許可的概觀
每個 AWS 資源都由 AWS 帳戶擁有,而建立或存取資源的許可受許可政策約束。
注意
帳戶管理員 (或管理員使用者) 是具有管理員許可的使用者。如需管理員的詳細資訊,請參閱 IAM 使用者指南 中的IAM最佳實務。
授予許可時,您會決定誰取得這些許可、取得許可的資源,以及他們有權執行的動作。
如果使用者想要與 AWS 外部互動,則需要程式設計存取權 AWS Management Console。授予程式設計存取權的方式取決於存取 的使用者類型 AWS。
若要授與使用者程式設計存取權,請選擇下列其中一個選項。
| 哪個使用者需要程式設計存取權? | 到 | By |
|---|---|---|
|
人力身分 (在 IAM Identity Center 中管理的使用者) |
使用暫時憑證簽署對 AWS CLI AWS SDKs、 或 的程式設計請求 AWS APIs。 |
請依照您要使用的介面所提供的指示操作。
|
| IAM | 使用暫時憑證簽署對 AWS CLI AWS SDKs、 或 的程式設計請求 AWS APIs。 | 遵循 IAM 使用者指南 中的使用臨時憑證與 AWS 資源的指示。 |
| IAM | (不建議使用) 使用長期憑證簽署對 AWS CLI AWS SDKs、 或 的程式設計請求 AWS APIs。 |
請依照您要使用的介面所提供的指示操作。
|
ARNs 適用於 Amazon Route 53 資源
Amazon Route 53 支援適用於 DNS、運作狀態檢查和網域註冊的各種資源類型。在政策中,您可以透過使用 *來授予或拒絕對下列資源的存取權ARN:
-
運作狀態檢查
-
託管區域
-
可重複使用的委派組
-
資源記錄集變更批次的狀態 (API僅限 )
-
流量政策 (流量流程)
-
流量政策執行個體 (流量流程)
並不是所有 Route 53 資源都支援許可。您無法授與或拒絕以下資源的存取:
-
網域
-
個別記錄
-
網域的標籤
-
運作狀態檢查的標籤
-
託管區域的標籤
Route 53 提供使用每種資源類型的API動作。如需詳細資訊,請參閱 Amazon Route 53 API參考 。如需動作清單,以及您指定授予或拒絕使用每個動作的許可ARN的 ,請參閱 Amazon Route 53 API許可:動作、資源和條件參考。
了解資源所有權
AWS 帳戶擁有在帳戶中建立的資源,無論誰建立資源。具體而言,資源擁有者是驗證資源建立請求的主要實體 AWS (即根帳戶或IAM角色) 帳戶。
下列範例說明其如何運作:
-
如果您使用 AWS 帳戶的根帳戶憑證來建立託管區域, AWS 您的帳戶就是 資源的擁有者。
-
如果您在 AWS 帳戶中建立使用者,並將建立託管區域的許可授予該使用者,則使用者可以建立託管區域。但是您的 AWS 帳戶 (也是該使用者所屬的帳戶) 擁有該託管區域資源。
-
如果您在 AWS 帳戶中建立具有建立託管區域許可IAM的角色,則任何可以擔任該角色的人都可以建立託管區域。您角色所屬 AWS 的帳戶擁有託管區域資源。
管理資源存取
許可政策指定何人可存取何物。本節說明用來為 Amazon Route 53 建立許可政策的選項。如需IAM政策語法和描述的一般資訊,請參閱 IAM 使用者指南 中的AWS IAM政策參考。
連接到IAM身分的政策稱為身分型政策 (IAM 政策),連接到資源的政策稱為資源型政策。Route 53 僅支援身分型政策 (IAM 政策)。
身分型政策 (IAM 政策)
您可以將政策連接至IAM身分。例如,您可以執行下列動作:
-
將許可政策連接至您帳戶中的使用者或群組 – 帳戶管理員可以使用與特定使用者相關聯的許可政策,來授與該使用者建立 Amazon Route 53 資源的許可。
-
將許可政策連接至角色 (授予跨帳戶許可) – 您可以授予許可,以對另一個 AWS 帳戶建立的使用者執行 Route 53 動作。若要這麼做,您可以將許可政策連接至IAM角色,然後允許其他帳戶中的使用者擔任該角色。以下範例說明如何對兩個 AWS 帳戶 (帳戶 A 和帳戶 B) 執行此操作:
-
帳戶 A 管理員會建立IAM角色,並將許可政策連接至該角色,授予建立或存取帳戶 A 所擁有資源的許可政策。
-
帳戶 A 管理員將信任政策連接至該角色。信任政策識別帳戶 B 做為可擔任該角色的委託人。
-
然後,帳戶 B 管理員將擔任該角色的許可委派給帳戶 B 中的任何使用者或群組。這麼做可讓帳戶 B 中的使用者建立或存取帳戶 A 的資源。
如需如何將許可委派給另一個 AWS 帳戶中使用者的詳細資訊,請參閱 IAM 使用者指南 中的存取管理。
-
以下範例政策可讓使用者執行 CreateHostedZone 動作,為任何 AWS 帳戶建立公有託管區域:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone" ], "Resource":"*" } ] }
如果您希望政策也適用於私有託管區域,則需要授予許可,才能使用 Route 53 AssociateVPCWithHostedZone動作和兩個 Amazon EC2動作,DescribeVpcs以及 DescribeRegion,如下列範例所示:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53:AssociateVPCWithHostedZone" ], "Resource":"*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRegion" ], "Resource":"*" }, ] }
如需將政策連接至 Route 53 身分的詳細資訊,請參閱 針對 Amazon Route 53 使用身分型政策 (IAM 政策)。如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南 中的身分 (使用者、群組和角色)。
資源型政策
其他服務 (例如 Amazon S3) 也支援將許可政策連接到資源。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。Amazon Route 53 不支援將政策連接到資源。
指定政策元素:資源、動作、效果和委託人
Amazon Route 53 包含您可以在每個 Route 53 資源上使用API的動作 (請參閱 Amazon Route 53 參考 ) (請參閱 ARNs 適用於 Amazon Route 53 資源)。 API 您可以對使用者或聯合身分使用者授予執行任何或所有這些動作的許可。請注意,某些API動作,例如註冊網域,需要許可才能執行多個動作。
以下是基本的政策元素:
-
資源 – 您可以使用 Amazon Resource Name (ARN) 來識別政策適用的資源。如需詳細資訊,請參閱ARNs 適用於 Amazon Route 53 資源。
-
動作:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的
Effect,route53:CreateHostedZone許可會允許或拒絕使用者執行 Route 53CreateHostedZone動作。 -
效果 - 您指定在使用者嘗試對指定資源執行動作時的效果 (允許或拒絕)。如果您不明確授與動作的存取權,將會隱含拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
-
主體 – 在身分型政策 (IAM 政策) 中,附加政策的使用者是隱含主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。Route 53 不支援資源型政策。
如需IAM政策語法和描述的詳細資訊,請參閱 IAM 使用者指南 中的AWS IAM政策參考。
如需顯示所有 Route 53 API操作及其適用的資源的資料表,請參閱 Amazon Route 53 API許可:動作、資源和條件參考。
在政策中指定條件
當您授予許可時,您可以使用IAM政策語言來指定政策何時生效。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱 IAM 使用者指南 中的IAMJSON政策元素:條件。
欲表示條件,您可以使用預先定義的條件金鑰。沒有 Route 53 特定的條件金鑰。不過,您可以視需要使用 AWS 各種條件金鑰。如需 AWS 全金鑰的完整清單,請參閱 IAM 使用者指南 中的可用金鑰條件。
