Claves de condición, recursos y acciones de Amazon Route 53 - AWS Identity and Access Management

Claves de condición, recursos y acciones de Amazon Route 53

Amazon Route 53 (prefijo de servicio: route53) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon Route 53

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateVPCWithHostedZone Concede permiso para asociar un Amazon VPC adicional con una zona hospedada privada. Escritura

hostedzone*

ChangeResourceRecordSets Concede permiso para crear, actualizar o eliminar un registro, que contiene información de DNS de autorización para un nombre de dominio o subdominio especificados. Escritura

hostedzone*

ChangeTagsForResource Concede permiso para añadir, editar o eliminar etiquetas para una comprobación de estado o una zona hospedada. Etiquetado

healthcheck*

hostedzone*

CreateHealthCheck Concede permiso para crear una nueva comprobación de estado que monitorea el estado y el desempeño de sus aplicaciones web, servidores web y otros recursos. Escritura
CreateHostedZone Concede permiso para crear una zona hospedada pública, que se utiliza para especificar la manera en que el sistema de nombres de dominio (DNS) redirige el tráfico en Internet para un dominio (como example.com) y sus subdominios. Escritura
CreateQueryLoggingConfig Concede permiso para crear una configuración para el registro de consultas de DNS. Escritura

hostedzone*

CreateReusableDelegationSet Concede permiso para crear un conjunto de delegación (un grupo de cuatro servidores de nombres) que pueden reutilizar varias zonas hospedadas. Escritura
CreateTrafficPolicy Concede permiso para crear una política de tráfico, que se utiliza para crear varios registros de DNS de un nombre de dominio (como example.com) o un nombre de subdominio (como www.ejemplo.com). Escritura
CreateTrafficPolicyInstance Concede permiso para crear los registros de una zona hospedada especificada en función de la configuración de una determinada versión de política de tráfico. Escritura

hostedzone*

trafficpolicy*

CreateTrafficPolicyVersion Concede permiso para crear una nueva versión de una política de tráfico existente. Escritura

trafficpolicy*

CreateVPCAssociationAuthorization Concede permiso para autorizar la cuenta de AWS que ha creado una VPC especificada para enviar una solicitud AssociateVPCWithHostedZone, que asocia la VPC con una zona hospedada especificada que creó una cuenta diferente. Escritura

hostedzone*

DeleteHealthCheck Concede permiso para eliminar una comprobación de estado. Escritura

healthcheck*

DeleteHostedZone Concede permiso para eliminar una zona hospedada. Escritura

hostedzone*

DeleteQueryLoggingConfig Concede permiso para eliminar una configuración para el registro de consultas de DNS. Escritura

queryloggingconfig*

DeleteReusableDelegationSet Concede permiso para eliminar un conjunto de delegación reutilizable. Escritura

delegationset*

DeleteTrafficPolicy Concede permiso para eliminar una política de tráfico. Escritura

trafficpolicy*

DeleteTrafficPolicyInstance Concede permiso para eliminar una instancia de política de tráfico y todos los registros que Route 53 creó cuando usted creó la instancia. Escritura

trafficpolicyinstance*

DeleteVPCAssociationAuthorization Concede permiso para quitar la autorización asociar una Amazon Virtual Private Cloud con una zona hospedada privada Route 53. Escritura

hostedzone*

DisassociateVPCFromHostedZone Concede permiso para desasociar una Amazon Virtual Private Cloud de una zona hospedada privada Route 53. Escritura

ESCENARIO: Disassociate by the VPC owner

hostedzone*

hostedzone

ESCENARIO: Disassociate by the hosted zone owner

hostedzone*

hostedzone

GetAccountLimit Concede permiso para obtener el límite especificado para la cuenta actual, por ejemplo, el número máximo de comprobaciones de estado que puede crear con la cuenta. Lectura
GetChange Concede permiso para obtener el estado actual de una solicitud para crear, actualizar o eliminar uno o varios registros. List

change*

GetCheckerIpRanges Concede permiso para obtener una lista de los rangos de IP que utilizan los comprobadores de estado de Route 53 para comprobar el estado de los recursos. List
GetGeoLocation Concede permiso para obtener información acerca de si una ubicación geográfica especificada es compatible con los registros de geolocalización Route 53. List
GetHealthCheck Concede permiso para obtener información acerca de una comprobación de estado especificada. Lectura

healthcheck*

GetHealthCheckCount Concede permiso para obtener el número de comprobaciones de estado que están asociadas con la cuenta de AWS actual. List
GetHealthCheckLastFailureReason Concede permiso para obtener la razón por la que una comprobación de estado especificada fue errónea más recientemente. List

healthcheck*

GetHealthCheckStatus Concede permiso para obtener el estado de una comprobación de estado especificada. List

healthcheck*

GetHostedZone Concede permiso para obtener información acerca de una zona hospedada especificada, incluidos los cuatro servidores de nombres que Route 53 asignó a la zona hospedada. List

hostedzone*

GetHostedZoneCount Concede permiso para obtener el número de zonas hospedadas que están asociadas a la cuenta de AWS actual. List
GetHostedZoneLimit Concede permiso para obtener el límite especificado para una zona hospedada especificada. Lectura

hostedzone*

GetQueryLoggingConfig Concede permiso para obtener información acerca de una configuración especificada para el registro de consultas de DNS. Lectura

queryloggingconfig*

GetReusableDelegationSet Concede permiso para obtener información acerca de un conjunto de delegación reutilizable especificado, incluidos los cuatro servidores de nombres que están asignados al conjunto de delegación. List

delegationset*

GetReusableDelegationSetLimit Concede permiso para obtener el número máximo de zonas hospedadas que puede asociar al conjunto de delegación reutilizable especificado. Lectura

delegationset*

GetTrafficPolicy Concede permiso para obtener información acerca de una versión de política de tráfico especificada. Lectura

trafficpolicy*

GetTrafficPolicyInstance Concede permiso para obtener información acerca de una instancia de política de tráfico especificada. Lectura

trafficpolicyinstance*

GetTrafficPolicyInstanceCount Concede permiso para obtener el número de instancias de política de tráfico que están asociadas con la cuenta de AWS actual. Lectura
ListGeoLocations Concede permiso para obtener una lista de ubicaciones geográficas que Route 53 admite para geolocalización. List
ListHealthChecks Concede permiso para obtener una lista de las comprobaciones de estado que están asociadas con la cuenta de AWS actual. List
ListHostedZones Concede permiso para obtener una lista de las zonas hospedadas públicas y privadas que están asociadas a la cuenta de AWS actual. List
ListHostedZonesByName Concede permiso para obtener una lista de sus zonas hospedadas en orden lexicográfico. Las zonas hospedadas se ordenan por nombre con las etiquetas invertidas, por ejemplo, com.example.www. List
ListQueryLoggingConfigs Concede permiso para enumerar las configuraciones para el registro de consultas de DNS que están asociadas a la cuenta de AWS actual o la configuración que está asociada a una zona hospedada especificada. List

queryloggingconfig*

ListResourceRecordSets Concede permiso para enumerar los registros de una zona hospedada especificada. List

hostedzone*

ListReusableDelegationSets Concede permiso para enumerar los conjuntos de delegación reutilizables que están asociados con la cuenta de AWS actual. List
ListTagsForResource Concede permiso para enumerar las etiquetas de una comprobación de estado o zona hospedada Lectura

healthcheck

hostedzone

ListTagsForResources Concede permiso para enumerar las etiquetas de hasta 10 comprobaciones de estado o zonas hospedadas. Lectura

healthcheck

hostedzone

ListTrafficPolicies Concede permiso para obtener información acerca de la versión más reciente de cada política de tráfico que está asociada a la cuenta de AWS actual. Las políticas están enumeradas en el orden en el que se crearon. Lectura
ListTrafficPolicyInstances Concede permiso para obtener información acerca de las instancias de políticas de tráfico que haya creado mediante la cuenta de AWS actual. Lectura
ListTrafficPolicyInstancesByHostedZone Concede permiso para obtener información acerca de las instancias de políticas de tráfico que haya creado en una zona hospedada especificada. Lectura

hostedzone*

ListTrafficPolicyInstancesByPolicy Concede permiso para obtener información acerca de las instancias de políticas de tráfico que haya creado usando una versión de política de tráfico especificada. Lectura

trafficpolicy*

ListTrafficPolicyVersions Concede permiso para obtener información acerca de todas las versiones de una política de tráfico especificada. Lectura

trafficpolicy*

ListVPCAssociationAuthorizations Concede permiso para obtener una lista de las VPC que se han creado por otras cuentas y que se pueden asociar a una zona hospedada especificada. Lectura

hostedzone*

TestDNSAnswer Concede permiso para obtener el valor que Route 53 devuelve en respuesta a una consulta de DNS para un nombre de registro y tipo especificados. Lectura
UpdateHealthCheck Concede permiso para actualizar una comprobación de estado existente. Escritura

healthcheck*

UpdateHostedZoneComment Concede permiso para actualizar el comentario de una zona hospedada especificada. Escritura

hostedzone*

UpdateTrafficPolicyComment Concede permiso para actualizar el comentario de una versión de política de tráfico especificada. Escritura

trafficpolicy*

UpdateTrafficPolicyInstance Concede permiso para actualizar los registros de una zona hospedada especificada que se crearon basados en la configuración de una determinada versión de política de tráfico. Escritura

trafficpolicyinstance*

Tipos de recurso definidos por Amazon Route 53

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
change arn:${Partition}:route53:::change/${Id}
delegationset arn:${Partition}:route53:::delegationset/${Id}
healthcheck arn:${Partition}:route53:::healthcheck/${Id}
hostedzone arn:${Partition}:route53:::hostedzone/${Id}
trafficpolicy arn:${Partition}:route53:::trafficpolicy/${Id}
trafficpolicyinstance arn:${Partition}:route53:::trafficpolicyinstance/${Id}
queryloggingconfig arn:${Partition}:route53:::queryloggingconfig/${Id}

Claves de condición de Amazon Route 53

Route 53 no tiene claves de contexto específicas de servicios que se puedan utilizar en el elemento Condition de las declaraciones de política. Para obtener la lista de las claves de contexto globales que están disponibles para todos los servicios, consulte Claves de condición disponibles en la Referencia de políticas de IAM.