本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon Route 53 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AmazonRoute53FullAccess
您可將 `AmazonRoute53FullAccess` 政策連接到 IAM 身分。
此政策授予 Route 53 資源的完整存取權,包括網域註冊和運作狀態檢查,但不包括 VPC Resolver。
**許可詳細資訊**
此政策包含以下許可。
+ `route53:*` – 可讓您執行以下*除外*的所有 Route 53 動作:
+ 建立和更新 **Alias Target (別名目標)** 之值為 CloudFront 分佈、Elastic Load Balancing 負載平衡器、Elastic Beanstalk 環境或 Amazon S3 儲存貯體的別名記錄。(透過這些許可,您可以建立 **Alias Target (別名目標)** 之值為相同託管區域中另一個記錄的別名記錄。)
+ 使用私有託管區域。
+ 使用網域。
+ 建立、刪除和檢視 CloudWatch 警示。
+ 在 Route 53 主控台中轉譯 CloudWatch 指標。
+ `route53domains:*` - 可讓您使用網域。
+ `cloudfront:ListDistributions` – 可讓您建立和更新 **Alias Target (別名目標)** 之值為 CloudFront 分佈的別名記錄。
如果未使用 Route 53 主控台,則不需要此許可。Route 53 只使用它來取得顯示在主控台中的分佈清單。
+ `cloudfront:GetDistributionTenantByDomain` – 用來擷取 CloudFront 多租用戶分佈,讓您建立和更新**別名目標**值為 CloudFront 分佈租用戶的別名記錄。
+ `cloudfront:GetConnectionGroup` – 用來擷取 CloudFront 多租用戶分佈,讓您建立和更新**別名目標**值為 CloudFront 分佈租用戶的別名記錄。
+ `cloudwatch:DescribeAlarms` – 搭配 `sns:ListTopics`和 `sns:ListSubscriptionsByTopic`,可讓您建立、刪除和檢視 CloudWatch 警示。
+ `cloudwatch:GetMetricStatistics` – 可讓您建立 CloudWatch 指標運作狀態檢查。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的統計資訊清單。
+ `cloudwatch:GetMetricData` – 可讓您顯示 CloudWatch 運作狀態檢查指標的狀態。
+ `ec2:DescribeVpcs` – 可讓您顯示 VPC 清單。
+ `ec2:DescribeVpcEndpoints` – 可讓您顯示 VPC 端點清單。
+ `ec2:DescribeRegions` – 可讓您顯示可用區域清單。
+ `elasticloadbalancing:DescribeLoadBalancers` – 可讓您建立和更新 **Alias Target (別名目標)** 之值為 Elastic Load Balancing 負載平衡器的別名記錄。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的負載平衡器清單。
+ `elasticbeanstalk:DescribeEnvironments` – 可讓您建立和更新 **Alias Target (別名目標)** 之值為 Elastic Beanstalk 環境的別名記錄。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的環境清單。
+ `es:ListDomainNames` – 可讓您顯示作用中區域中目前使用者擁有的所有 Amazon OpenSearch Service 網域的名稱。
+ `es:DescribeDomains` – 可讓您取得指定 Amazon OpenSearch Service 網域的網域組態。
+ `lightsail:GetContainerServices` – 可讓您使用Lightsail容器服務來建立和更新別名**目標值**為Lightsail網域的別名記錄。
+ `s3:ListBucket`、`s3:GetBucketLocation` 和 `s3:GetBucketWebsite` – 可讓您建立和更新 **Alias Target (別名目標)** 之值為 Amazon S3 儲存貯體的別名記錄。(只有在儲存貯體設定為網站端點時,您才可以建立 Amazon S3 儲存貯體的別名; `s3:GetBucketWebsite` 會取得所需的組態資訊。)
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的儲存貯體清單。
+ `sns:ListTopics`、`sns:ListSubscriptionsByTopic`、`cloudwatch:DescribeAlarms` - 可讓您建立、刪除和檢視 CloudWatch 警示。
+ `tag:GetResources` – 可讓您在 資源中顯示標籤。例如,運作狀態檢查的名稱。
+ `apigateway:GET` – 可讓您建立和更新 **Alias Target (別名目標)** 的值為 Amazon API Gateway API 的別名記錄。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS 受管政策:AmazonRoute53ReadOnlyAccess
您可將 `AmazonRoute53ReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 Route 53 資源的唯讀存取權,包括網域註冊和運作狀態檢查,但不包括 VPC Resolver。
**許可詳細資訊**
此政策包含以下許可。
+ `route53:Get*` - 取得路由 Route 53 資源。
+ `route53:List*` - 列出 Route 53 資源。
+ `route53:TestDNSAnswer` - 取得 Route 53 為回應 DNS 要求所傳回的值。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53DomainsFullAccess
您可將 `AmazonRoute53DomainsFullAccess` 政策連接到 IAM 身分。
此政策授與 Route 53 網域註冊資源的完整存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53:CreateHostedZone` - 可讓您建立 Route 53 託管區域。
+ `route53domains:*` - 可讓您註冊網域名稱並執行相關操作。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53DomainsReadOnlyAccess
您可將 `AmazonRoute53DomainsReadOnlyAccess` 政策連接到 IAM 身分。
此政策授與 Route 53 網域註冊資源的唯讀存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53domains:Get*` - 可讓您從 Route 53 擷取網域清單。
+ `route53domains:List*` - 可讓您顯示 Route 53 網域的清單。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53ResolverFullAccess
您可將 `AmazonRoute53ResolverFullAccess` 政策連接到 IAM 身分。
此政策授予 Route 53 VPC Resolver 資源的完整存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53resolver:*` – 可讓您在 Route 53 主控台上建立和管理 VPC Resolver 資源。
+ `ec2:DescribeSubnets` - 可讓您列出您的 Amazon VPC 子網路。
+ `ec2:CreateNetworkInterface`、`ec2:DeleteNetworkInterface` h和 `ec2:ModifyNetworkInterfaceAttribute` - 可讓您建立、修改和刪除網路介面。
+ `ec2:DescribeNetworkInterfaces` - 可讓您顯示網路介面清單。
+ `ec2:DescribeSecurityGroups` - 可讓您顯示所有安全群組的清單。
+ `ec2:DescribeVpcs` - 可讓您顯示 VPC 清單。
+ `ec2:DescribeAvailabilityZones` - 可讓您列出可供您使用的區域。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53ResolverReadOnlyAccess
您可將 `AmazonRoute53ResolverReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 Route 53 VPC Resolver 資源的唯讀存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53resolver:Get*` – 取得 VPC Resolver 資源。
+ `route53resolver:List*` – 可讓您顯示 VPC Resolver 資源的清單。
+ `ec2:DescribeNetworkInterfaces` - 可讓您顯示網路介面清單。
+ `ec2:DescribeSecurityGroups` - 可讓您顯示所有安全群組的清單。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:Route53ResolverServiceRolePolicy
您無法連接 `Route53ResolverServiceRolePolicy` 至您的 IAM 實體。此政策會連接到服務連結角色,允許 Route 53 VPC Resolver 存取 AWS 由 VPC Resolver 使用或管理的服務和資源。如需詳細資訊,請參閱[使用 的服務連結角色 Amazon Route 53 Resolver](using-service-linked-roles.md)。
## AWS 受管政策:AmazonRoute53ProfilesFullAccess
您可將 `AmazonRoute53ProfilesReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 Amazon Route 53 Profile 資源的完整存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53profiles` – 可讓您在 Route 53 主控台上建立和管理設定檔資源。
+ `ec2` – 允許主體取得 VPCs的相關資訊。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53ProfilesReadOnlyAccess
您可將 `AmazonRoute53ProfilesReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 Amazon Route 53 Profile 資源的唯讀存取權。
**許可詳細資訊**
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策的 Route 53 更新
檢視自此服務開始追蹤這些變更以來,Route 53 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Route 53 [文件歷程記錄](History.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 更新的政策 | 新增 `cloudwatch:GetMetricData` 、`tag:GetResources`、`es:ListDomainNames`、`cloudfront:GetDistributionTenantByDomain`、 `es:DescribeDomains``cloudfront:GetConnectionGroup`和 的許可`lightsail:GetContainerServices`。這些許可可讓您擷取最多 500 個 CloudWatch 運作狀態檢查指標、最多 100 個運作狀態檢查名稱、取得指定 Amazon OpenSearch Service 網域的網域組態,以及列出作用中區域中目前使用者擁有的所有 Amazon OpenSearch Service 網域名稱、擷取 CloudFront 多租用戶分佈,以及取得Lightsail容器服務。 | 2025 年 6 月 1 日 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) – 更新的政策 | 新增 `GetProfilePolicy`和 的許可`PutProfilePolicy`。這些是僅限許可的 IAM 動作。如果 IAM 主體未授予這些許可,則嘗試使用 AWS RAM 服務共用設定檔時發生錯誤。 | 2024 年 8 月 27 日 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) – 更新的政策 | 新增 的許可`GetProfilePolicy`。這是僅限許可的 IAM 動作。如果 IAM 主體未授予此許可,則嘗試使用 AWS RAM 服務存取設定檔的政策時發生錯誤。 | 2024 年 8 月 27 日 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) – 已更新政策 | 新增陳述式 ID (Sid) 以唯一識別政策。 | 2024 年 8 月 5 日 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) – 已更新政策 | 新增陳述式 ID (Sid) 以唯一識別政策。 | 2024 年 8 月 5 日 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許完整存取 Amazon Route 53 Profile 資源。 | 2024 年 4 月 22 日 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許唯讀存取 Amazon Route 53 Profile 資源。 | 2024 年 4 月 22 日 |
| [Route53ResolverServiceRolePolicy](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) – 新政策 | Amazon Route 53 新增了連接至服務連結角色的新政策,允許 VPC Resolver 存取 Resolver 使用或管理 AWS 的服務和資源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許唯讀存取 VPC Resolver 資源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許完整存取 VPC Resolver 資源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許對 Route 53 網域資源的唯讀存取。 | 2021 年 7 月 14 日 |
| [AmazonRoute53DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許完整存取 Route 53 網域資源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許對 Route 53 資源的唯讀存取。 | 2021 年 7 月 14 日 |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許完整存取 Route 53 資源。 | 2021 年 7 月 14 日 |
| Route 53 開始追蹤變更 | Route 53 開始追蹤其 AWS 受管政策的變更。 | 2021 年 7 月 14 日 |