AWS Amazon 路線 53 的受管政策 - Amazon Route 53
AmazonRoute53 FullAccessAmazonRoute53 ReadOnlyAccessAmazonRoute53 DomainsFullAccessAmazonRoute53 DomainsReadOnlyAccessAmazonRoute53 ResolverFullAccessAmazonRoute53 ResolverReadOnlyAccess高速公路 53 號 ResolverServiceRolePolicyAmazonRoute53 ProfilesFullAccessAmazonRoute53 ProfilesReadOnlyAccess政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon 路線 53 的受管政策

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。

如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略

AWS 受管理的策略: AmazonRoute53 FullAccess

您可以將AmazonRoute53FullAccess原則附加至您的IAM身分識別。

該政策將完整存取權授與 Route 53 資源,包括網域註冊和運作狀態檢查,但 Resolver 除外

許可詳細資訊

此政策包含以下許可。

  • route53:* – 可讓您執行以下除外的所有 Route 53 動作:

    • 建立和更新別名目標值為 CloudFront 分配、Elastic Load Balancing 負載平衡器、彈性 Elastic Beanstalk 環境或 Amazon S3 儲存貯體的別名記錄。(透過這些許可,您可以建立 Alias Target (別名目標) 之值為相同託管區域中另一個記錄的別名記錄。)

    • 使用私有託管區域。

    • 使用網域。

    • 建立、刪除和檢視 CloudWatch 警示。

    • 在 Route 53 主控台中轉譯 CloudWatch 指標。

  • route53domains:* - 可讓您使用網域。

  • cloudfront:ListDistributions— 可讓您建立和更新別名目標值為 CloudFront發佈的別名記錄。

    如果未使用 Route 53 主控台,則不需要此許可。Route 53 只使用它來取得顯示在主控台中的分佈清單。

  • elasticloadbalancing:DescribeLoadBalancers – 可讓您建立和更新 Alias Target (別名目標) 之值為 Elastic Load Balancing 負載平衡器的別名記錄。

    如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的負載平衡器清單。

  • elasticbeanstalk:DescribeEnvironments – 可讓您建立和更新 Alias Target (別名目標) 之值為 Elastic Beanstalk 環境的別名記錄。

    如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的環境清單。

  • s3:ListBuckets3:GetBucketLocations3:GetBucketWebsite – 可讓您建立和更新 Alias Target (別名目標) 之值為 Amazon S3 儲存貯體的別名記錄。(只有在儲存貯體設定為網站端點時,您才可以建立 Amazon S3 儲存貯體的別名; s3:GetBucketWebsite 會取得所需的組態資訊。)

    如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的儲存貯體清單。

  • ec2:DescribeVpcs— 可讓您顯示的清單VPCs。

  • ec2:DescribeVpcEndpoints— 可讓您顯示VPC端點清單。

  • ec2:DescribeRegions – 可讓您顯示可用區域清單。

  • sns:ListTopicssns:ListSubscriptionsByTopiccloudwatch:DescribeAlarms — 可讓您建立、刪除和檢視 CloudWatch 鬧鐘。

  • cloudwatch:GetMetricStatistics— 可讓您建立 CloudWatch量度健康狀態檢查。

    如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的統計資訊清單。

  • apigateway:GET— 可讓您建立和更新別名目標值為 Amazon API 閘道的別名記錄API。

    如果未使用 Route 53 主控台,則不需要此許可。Route 53 僅使用它來獲取要在控制台中顯示的APIs列表。

如需有關權限的詳細資訊,請參閱Amazon 路線 53 API 許可:動作、資源和條件參考

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:*",
                "route53domains:*",
                "cloudfront:ListDistributions",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticbeanstalk:DescribeEnvironments",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:GetBucketWebsite",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeRegions",
                "sns:ListTopics",
                "sns:ListSubscriptionsByTopic",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricStatistics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "apigateway:GET",
            "Resource": "arn:aws:apigateway:*::/domainnames"
        }
    ]
}

AWS 受管理的策略: AmazonRoute53 ReadOnlyAccess

您可以將AmazonRoute53ReadOnlyAccess原則附加至您的IAM身分識別。

此政策將唯讀存取權授與 Route 53 資源,包括網域註冊和運作狀態檢查,但 Resolver 除外

許可詳細資訊

此政策包含以下許可。

  • route53:Get* - 取得路由 Route 53 資源。

  • route53:List* - 列出 Route 53 資源。

  • route53:TestDNSAnswer— 取得 Route 53 回應DNS要求而傳回的值。

如需有關權限的詳細資訊,請參閱Amazon 路線 53 API 許可:動作、資源和條件參考

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:Get*",
                "route53:List*",
                "route53:TestDNSAnswer"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS 受管理的策略: AmazonRoute53 DomainsFullAccess

您可以將AmazonRoute53DomainsFullAccess原則附加至您的IAM身分識別。

此政策授與 Route 53 網域註冊資源的完整存取權。

許可詳細資訊

此政策包含以下許可。

  • route53:CreateHostedZone - 可讓您建立 Route 53 託管區域。

  • route53domains:* - 可讓您註冊網域名稱並執行相關操作。

如需有關權限的詳細資訊,請參閱Amazon 路線 53 API 許可:動作、資源和條件參考

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53domains:*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS 受管理的策略: AmazonRoute53 DomainsReadOnlyAccess

您可以將AmazonRoute53DomainsReadOnlyAccess原則附加至您的IAM身分識別。

此政策授與 Route 53 網域註冊資源的唯讀存取權。

許可詳細資訊

此政策包含以下許可。

  • route53domains:Get* - 可讓您從 Route 53 擷取網域清單。

  • route53domains:List* - 可讓您顯示 Route 53 網域的清單。

如需有關權限的詳細資訊,請參閱Amazon 路線 53 API 許可:動作、資源和條件參考

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53domains:Get*",
                "route53domains:List*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS 受管理的策略: AmazonRoute53 ResolverFullAccess

您可以將AmazonRoute53ResolverFullAccess原則附加至您的IAM身分識別。

此政策授與 Route 53 Resolver 資源的完整存取權。

許可詳細資訊

此政策包含以下許可。

  • route53resolver:* - 可讓您在 Route 53 主控台上建立和管理 Resolver 資源。

  • ec2:DescribeSubnets— 讓你列出你的 Amazon VPC 子網.

  • ec2:CreateNetworkInterfaceec2:DeleteNetworkInterface h和 ec2:ModifyNetworkInterfaceAttribute - 可讓您建立、修改和刪除網路介面。

  • ec2:DescribeNetworkInterfaces - 可讓您顯示網路介面清單。

  • ec2:DescribeSecurityGroups - 可讓您顯示所有安全群組的清單。

  • ec2:DescribeVpcs— 可讓您顯示的清單VPCs。

  • ec2:DescribeAvailabilityZones - 可讓您列出可供您使用的區域。

如需有關權限的詳細資訊,請參閱Amazon 路線 53 API 許可:動作、資源和條件參考

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonRoute53ResolverFullAccess",
            "Effect": "Allow",
            "Action": [
                "route53resolver:*",
                "ec2:DescribeSubnets",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS 受管理的策略: AmazonRoute53 ResolverReadOnlyAccess

您可以將AmazonRoute53ResolverReadOnlyAccess原則附加至您的IAM身分識別。

此政策授與 Route 53 解析程式資源的唯讀存取權。

許可詳細資訊

此政策包含以下許可。

  • route53resolver:Get*— 取得解析程式資源。

  • route53resolver:List* - 可讓您顯示 Resolver 資源清單。

  • ec2:DescribeNetworkInterfaces - 可讓您顯示網路介面清單。

  • ec2:DescribeSecurityGroups - 可讓您顯示所有安全群組的清單。

如需有關權限的詳細資訊,請參閱Amazon 路線 53 API 許可:動作、資源和條件參考

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonRoute53ResolverReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "route53resolver:Get*",
                "route53resolver:List*",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS 管理策略:路由 53 ResolverServiceRolePolicy

您無法附加Route53ResolverServiceRolePolicy至您的IAM實體。此政策會連接到服務連結角色,而該角色可讓 Route 53 Resolver 存取由 Resolver 使用或管理的 AWS 服務和資源。如需詳細資訊,請參閱使用 Amazon Route 53 Resolver 的服務連結角色

AWS 受管理的策略: AmazonRoute53 ProfilesFullAccess

您可以將AmazonRoute53ProfilesReadOnlyAccess原則附加至您的IAM身分識別。

此政策授予對 Amazon Route 53 設定檔資源的完整存取權。

許可詳細資訊

此政策包含以下許可。

  • ec2-允許主參與者取得有關VPCs的資訊。

如需有關權限的詳細資訊,請參閱Amazon 路線 53 API 許可:動作、資源和條件參考

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonRoute53ProfilesFullAccess",
            "Effect": "Allow",
            "Action": [
                "route53profiles:AssociateProfile",
                "route53profiles:AssociateResourceToProfile",
                "route53profiles:CreateProfile",
                "route53profiles:DeleteProfile",
                "route53profiles:DisassociateProfile",
                "route53profiles:DisassociateResourceFromProfile",
                "route53profiles:UpdateProfileResourceAssociation",
                "route53profiles:GetProfile",
                "route53profiles:GetProfileAssociation",
                "route53profiles:GetProfileResourceAssociation",
                "route53profiles:ListProfileAssociations",
                "route53profiles:ListProfileResourceAssociations",
                "route53profiles:ListProfiles",
                "route53profiles:ListTagsForResource",
                "route53profiles:TagResource",
                "route53profiles:UntagResource",
                "route53resolver:GetFirewallConfig",
                "route53resolver:GetFirewallRuleGroup",
                "route53resolver:GetResolverConfig",
                "route53resolver:GetResolverDnssecConfig",
                "route53resolver:GetResolverQueryLogConfig",
                "route53resolver:GetResolverRule",
                "ec2:DescribeVpcs",
                "route53:GetHostedZone"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS 受管理的策略: AmazonRoute53 ProfilesReadOnlyAccess

您可以將AmazonRoute53ProfilesReadOnlyAccess原則附加至您的IAM身分識別。

此政策授予對 Amazon Route 53 設定檔資源的唯讀存取權限。

許可詳細資訊

如需有關權限的詳細資訊,請參閱Amazon 路線 53 API 許可:動作、資源和條件參考

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonRoute53ProfilesReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "route53profiles:GetProfile",
                "route53profiles:GetProfileAssociation",
                "route53profiles:GetProfileResourceAssociation",
                "route53profiles:ListProfileAssociations",
                "route53profiles:ListProfileResourceAssociations",
                "route53profiles:ListProfiles",
                "route53profiles:ListTagsForResource",
                "route53resolver:GetFirewallConfig",
                "route53resolver:GetResolverConfig",
                "route53resolver:GetResolverDnssecConfig",
                "route53resolver:GetResolverQueryLogConfig",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

將 53 個更新路由到 AWS 受管理策略

檢視有關 Route 53 AWS 受管理政策更新的詳細資料,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱 Route 53 文件歷史記錄頁面上的RSS摘要。

變更 描述 日期

AmazonRoute53 ResolverFullAccess — 更新的政策

已新增陳述式識別碼 (Sid) 以唯一識別原則。

 2024年8月5 日

AmazonRoute53 ResolverReadOnlyAccess — 更新的政策

已新增陳述式識別碼 (Sid) 以唯一識別原則。

 2024年8月5 日

AmazonRoute53 ProfilesFullAccess — 新政策

Amazon Route 53 添加了一項新政策,以允許完全訪問 Amazon Route 53 配置文件資源。

 2024年4月22 日

AmazonRoute53 ProfilesReadOnlyAccess — 新政策

Amazon 路線 53 添加了一項新政策,允許對 Amazon Route 53 配置文件資源進行只讀訪問。

 2024年4月22 日

路線 53 — 新政ResolverServiceRolePolicy

Amazon Route 53 新增了附加到服務連結角色的新政策,該政策允許 Route 53 解析器存取解析器使用或管理的 AWS 服務和資源。

 2021 年 7 月 14 日

AmazonRoute53 ResolverReadOnlyAccess — 新政策

Amazon Route 53 添加了一項新政策,以允許對 Route 53 解析器資源的只讀訪問。

 2021 年 7 月 14 日

AmazonRoute53 ResolverFullAccess — 新政策

Amazon Route 53 添加了一項新政策,以允許完全訪問 Route 53 解析器資源。

 2021 年 7 月 14 日

AmazonRoute53 DomainsReadOnlyAccess — 新政策

Amazon 路線 53 添加了一項新政策,允許對 Route 53 域資源進行只讀訪問。

 2021 年 7 月 14 日

AmazonRoute53 DomainsFullAccess — 新政策

Amazon 路線 53 添加了一項新政策,允許完全訪問 Route 53 域資源。

 2021 年 7 月 14 日

AmazonRoute53 ReadOnlyAccess — 新政策

Amazon 路線 53 添加了一項新政策,允許對 Route 53 資源進行只讀訪問。

 2021 年 7 月 14 日

AmazonRoute53 FullAccess — 新政策

Amazon 路線 53 添加了一項新政策,以允許完全訪問 Route 53 資源。

 2021 年 7 月 14 日

Route 53 開始追蹤變更

Route 53 開始追蹤其 AWS 受管理政策的變更。

 2021 年 7 月 14 日