Übersicht zur Verwaltung der Zugriffsberechtigungen für Amazon-Route-53-Ressourcen - Amazon Route 53
ARNsfür Amazon Route 53-RessourcenGrundlegendes zum Eigentum an RessourcenVerwalten des Zugriffs auf RessourcenAngeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und PrinzipaleAngeben von Bedingungen in einer Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht zur Verwaltung der Zugriffsberechtigungen für Amazon-Route-53-Ressourcen

Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen zu Administratoren finden Sie unter IAMBewährte Methoden im IAMBenutzerhandbuch.

Wenn Sie Berechtigungen erteilen, entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen Berechtigungen vergeben werden und welche Aktionen für die Benutzer zulässig sind.

Benutzer benötigen programmgesteuerten Zugriff, wenn sie mit AWS außerhalb des AWS Management Console interagieren möchten. Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift. AWS

Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.

Welcher Benutzer benötigt programmgesteuerten Zugriff? Bis Von

Mitarbeiteridentität

(In IAM Identity Center verwaltete Benutzer)

 Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
IAM Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen im IAMBenutzerhandbuch.
IAM

(Nicht empfohlen)

Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

ARNsfür Amazon Route 53-Ressourcen

Amazon Route 53 unterstützt eine Vielzahl von Ressourcentypen für DNS Integritätsprüfungen und Domainregistrierung. In einer Richtlinie können Sie den Zugriff auf die folgenden Ressourcen gewähren oder verweigern, indem Sie Folgendes verwenden *ARN:

  • Health checks (Zustandsprüfungen)

  • Gehostete Zonen

  • Wiederverwendbare Delegationssätze

  • Status eines Änderungsstapels für Ressourcendatensätze (APInur)

  • Datenverkehrsrichtlinien (Datenfluss)

  • Datenverkehrsrichtlinien-Instances (Datenfluss)

Nicht alle Route-53-Ressourcen unterstützen Berechtigungen. Für die folgenden Ressourcen können Sie keinen Zugriff gewähren oder verweigern:

  • Domains

  • Individuelle Datensätze

  • Tags für Domänen

  • Tags für Zustandsprüfungen

  • Tags für gehostete Zonen

Route 53 bietet API Aktionen für die Arbeit mit jedem dieser Ressourcentypen. Weitere Informationen finden Sie in der Amazon Route API 53-Referenz. Eine Liste der Aktionen und die AngabenARN, die Sie angeben, um die Erlaubnis zur Verwendung der einzelnen Aktionen zu erteilen oder zu verweigern, finden Sie unterAmazon Route API 53-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Grundlegendes zum Eigentum an Ressourcen

Ein AWS Konto besitzt die Ressourcen, die in dem Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer das AWS Konto der Prinzipalentität (d. h. das Stammkonto oder eine IAM Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert.

Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die Root-Kontoanmeldeinformationen Ihres AWS Kontos verwenden, um eine gehostete Zone zu erstellen, ist Ihr AWS Konto der Eigentümer der Ressource.

  • Wenn Sie in Ihrem AWS Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen einer gehosteten Zone gewähren, kann der Benutzer eine gehostete Zone erstellen. Eigentümer der gehosteten Zone ist jedoch das AWS -Konto, zu dem der Benutzer gehört.

  • Wenn Sie in Ihrem AWS Konto eine IAM Rolle mit Berechtigungen zum Erstellen einer gehosteten Zone erstellen, kann jeder, der diese Rolle übernehmen kann, eine gehostete Zone erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die Ressource für die gehostete Zone.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie gibt an, wer Zugriff auf welche Objekte hat. In diesem Abschnitt werden die Optionen zum Erstellen von Berechtigungsrichtlinien für Amazon Route 53 erläutert. Allgemeine Informationen zur IAM Richtliniensyntax und Beschreibungen finden Sie in der AWS IAMRichtlinienreferenz im IAMBenutzerhandbuch.

Mit einer IAM Identität verknüpfte Richtlinien werden als identitätsbasierte Richtlinien (Richtlinien) bezeichnet, und IAM Richtlinien, die einer Ressource zugeordnet sind, werden als ressourcenbasierte Richtlinien bezeichnet. Route 53 unterstützt nur identitätsbasierte Richtlinien (Richtlinien). IAM

Identitätsbasierte Richtlinien (Richtlinien) IAM

Sie können Identitäten Richtlinien zuordnenIAM. Sie können z. B. Folgendes tun:

  • Berechtigungsrichtlinien Benutzern oder Gruppen in Ihrem Konto zuweisen – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um diesem Benutzer Berechtigungen zum Erstellen von Amazon-Route-53-Ressourcen zu erteilen.

  • Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einem Benutzer, der mit einem anderen AWS Konto erstellt wurde, die Erlaubnis erteilen, Route 53-Aktionen auszuführen. Dazu fügen Sie einer IAM Rolle eine Berechtigungsrichtlinie hinzu und gestatten dann dem Benutzer des anderen Kontos, die Rolle zu übernehmen. Im folgenden Beispiel wird erklärt, wie dieser Vorgang für zwei AWS -Konten, Konto A und Konto B, funktioniert:

    1. Konto Ein Administrator erstellt eine IAM Rolle und fügt der Rolle eine Berechtigungsrichtlinie hinzu, die Berechtigungen zum Erstellen oder Zugreifen auf Ressourcen gewährt, die dem Konto A gehören.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu. Die Vertrauensrichtlinie identifiziert Konto B als Prinzipal, der die Rolle einnehmen darf.

    3. Anschließend kann der Administrator von Konto B Berechtigungen für Benutzer oder Gruppen in Konto B zuweisen, sodass diese die Rolle einnehmen können. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen bzw. darauf zugreifen.

    Weitere Informationen zum Delegieren von Berechtigungen an Benutzer in einem anderen AWS Konto finden Sie unter Zugriffsverwaltung im IAMBenutzerhandbuch.

Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, die Aktion CreateHostedZone auszuführen und eine öffentliche gehostete Zone für ein AWS -Konto zu erstellen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Wenn Sie möchten, dass die Richtlinie auch für privat gehostete Zonen gilt, müssen Sie die Berechtigungen zur Verwendung der Route AssociateVPCWithHostedZone 53-Aktion und zweier EC2 Amazon-Aktionen gewähren, DescribeVpcs undDescribeRegion, wie im folgenden Beispiel gezeigt,:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Weitere Informationen zum Zuweisen von Richtlinien zu Identitäten für Route 53 finden Sie unter Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für Amazon Route 53. Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Benutzerhandbuch unter Identitäten (Benutzer, Gruppen und Rollen). IAM

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon S3, unterstützen auch die Zuordnung von Berechtigungsrichtlinien zu Ressourcen. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. Amazon Route 53 unterstützt nicht das Anfügen von Richtlinien an Ressourcen. 

Angeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und Prinzipale

Amazon Route 53 umfasst API Aktionen (siehe Amazon Route API 53-Referenz), die Sie für jede Route 53-Ressource verwenden können (sieheARNsfür Amazon Route 53-Ressourcen). Sie können Benutzern oder verbundenen Benutzern Berechtigungen zur Durchführung beliebiger oder aller dieser Aktionen erteilen. Beachten Sie, dass für einige API Aktionen, wie z. B. die Registrierung einer Domain, Berechtigungen erforderlich sind, um mehr als eine Aktion auszuführen.

Grundlegende Richtlinienelemente:

  • Ressource — Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter ARNsfür Amazon Route 53-Ressourcen.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Beispiel: Abhängig von dem angegebenen Effect erlaubt oder verweigert die Berechtigung route53:CreateHostedZone Benutzern die Durchführung der Route-53-Aktion CreateHostedZone.

  • Effekt – Dies ist die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer versucht, die jeweilige Aktion für die angegebene Ressource durchzuführen. Wenn Sie den Zugriff auf eine Aktion nicht ausdrücklich gestatten, wird er implizit verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). Route 53 unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur IAM Richtliniensyntax und Beschreibungen finden Sie in der AWS IAMRichtlinienreferenz im IAM Benutzerhandbuch.

Eine tabellarische mit allen Route API 53-Vorgängen und den Ressourcen, für die sie gelten, finden Sie unterAmazon Route API 53-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Angeben von Bedingungen in einer Richtlinie

Wenn Sie Berechtigungen erteilen, können Sie anhand der IAM Richtliniensprache angeben, wann eine Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter IAMJSONRichtlinienelemente: Bedingung im IAMBenutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für Route 53 gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch AWS umfangreiche Bedingungsschlüssel, die Sie nach Bedarf verwenden können. Eine vollständige Liste der AWS breiten Tasten finden Sie im IAMBenutzerhandbuch unter Verfügbare Tasten für Bedingungen.