Acciones, recursos y claves de condición para Amazon Route 53 Resolver - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon Route 53 Resolver

Amazon Route 53 Resolver (prefijo de servicio: route53resolver) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon Route 53 Resolver

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateFirewallRuleGroup Otorga permiso para asociar una Amazon VPC a un grupo de reglas de firewall especificado Write

firewall-rule-group-association*

ec2:DescribeVpcs

aws:RequestTag/${TagKey}

aws:TagKeys

AssociateResolverEndpointIpAddress Otorga permiso para asociar una dirección IP especificada con un punto de enlace de Resolver. Se trata de una dirección IP por la que pasan las consultas de DNS que se transfieren a su red (salida) o a sus VPC (entrada). Write

resolver-endpoint*

AssociateResolverQueryLogConfig Otorga permiso para asociar una Amazon VPC con una configuración de registro de consultas especificada Write

resolver-query-log-config*

ec2:DescribeVpcs

AssociateResolverRule Otorga permiso para asociar una regla de Resolver especificada con una VPC especificada. Write

resolver-rule*

CreateFirewallDomainList Otorga permiso para crear una lista de dominios de firewall. Write

firewall-domain-list*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFirewallRule Otorga permiso para crear una regla de firewall dentro de un grupo de reglas de firewall. Write

firewall-rule-group*

CreateFirewallRuleGroup Otorga permiso para crear un grupo de reglas de firewall. Write

firewall-rule-group*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResolverEndpoint Otorga permiso para crear un punto enlace de Resolver. Existen dos tipos de puntos de enlace de Resolver: de entrada y de salida. Write

resolver-endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResolverQueryLogConfig Otorga permiso para crear una configuración de registro de consultas de Resolver, que define dónde desea que Resolver guarde los registros de consulta DNS que se originan en las VPC Escritura

resolver-query-log-config*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateResolverRule Otorga permiso para definir cómo dirigir las consultas que salen de su VPC fuera de la VPC. Escritura

resolver-rule*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteFirewallDomainList Otorga permiso para eliminar una lista de dominios de firewall. Write

firewall-domain-list*

DeleteFirewallRule Otorga permiso para eliminar una regla de firewall dentro de un grupo de reglas de firewall. Write

firewall-rule-group*

DeleteFirewallRuleGroup Otorga permiso para eliminar un grupo de reglas de firewall. Write

firewall-rule-group*

DeleteResolverEndpoint Otorga permiso para eliminar un punto de enlace de Resolver. El efecto de eliminar un punto de enlace de Resolver depende de si se trata de un punto de enlace de Resolver de entrada o de salida. Write

resolver-endpoint*

DeleteResolverQueryLogConfig Otorga permiso para eliminar una configuración de registro de consultas de Resolver Write

resolver-query-log-config*

DeleteResolverRule Otorga permiso para eliminar una regla de Resolver. Write

resolver-rule*

DisassociateFirewallRuleGroup Otorga permiso para quitar la asociación entre un grupo de reglas de firewall especificado y una VPC especificada Write

firewall-rule-group-association*

DisassociateResolverEndpointIpAddress Otorga permiso para eliminar una dirección IP especificada de un punto de enlace de Resolver. Se trata de una dirección IP por la que pasan las consultas de DNS que se transfieren a su red (salida) o a sus VPC (entrada). Write

resolver-endpoint*

DisassociateResolverQueryLogConfig Otorga permiso para eliminar la asociación entre una configuración de registro de consultas de Resolver especificada y una VPC especificada Write

resolver-query-log-config*

DisassociateResolverRule Otorga permiso para eliminar la asociación entre una regla de Resolver especificada y una VPC especificada Write

resolver-rule*

GetFirewallConfig Otorga permiso para obtener información sobre una configuración de firewall especificada. Read

firewall-config*

ec2:DescribeVpcs

GetFirewallDomainList Otorga permiso para obtener información sobre una lista de dominios de firewall especificada. Read

firewall-domain-list*

GetFirewallRuleGroup Otorga permiso para obtener información sobre un grupo de reglas de firewall especificado. Read

firewall-rule-group*

GetFirewallRuleGroupAssociation Otorga permiso para obtener información sobre una asociación entre un grupo de reglas de firewall especificado y una VPC Read

firewall-rule-group-association*

GetFirewallRuleGroupPolicy Otorga permiso para obtener información sobre una política de grupo de reglas de firewall especificada, que define las operaciones y los recursos del grupo de reglas de firewall que usted desea permitir que otra Cuenta de AWS utilice. Lectura

firewall-rule-group*

GetResolverConfig Otorga permiso para obtener el estado Resolver Config dentro del recurso especificado. Lectura

resolver-config*

ec2:DescribeVpcs

GetResolverDnssecConfig Otorga permiso para obtener el estado de compatibilidad de validación de las DNSSEC para las consultas DNS dentro del recurso especificado Read

resolver-dnssec-config*

GetResolverEndpoint Otorga permiso para obtener información sobre un punto de enlace de Resolver especificado; por ejemplo, si se trata de un punto de enlace de Resolver de entrada o de salida, y las direcciones IP de su VPC a las que se envían las consultas de DNS que entran o salen de su VPC. Read

resolver-endpoint*

GetResolverQueryLogConfig Otorga permiso para obtener información acerca de una configuración de registro de consultas de Resolver especificada, como el número de VPC para las que la configuración está registrando consultas y la ubicación a la que se envían los registros Read

resolver-query-log-config*

ec2:DescribeVpcs

GetResolverQueryLogConfigAssociation Otorga permiso para obtener información sobre una asociación especificada entre una configuración de registro de consultas de Resolver y una Amazon VPC. Cuando asocia una VPC con una configuración de registro de consultas, Resolver registra consultas DNS que se originan en esa VPC Read

resolver-query-log-config*

GetResolverQueryLogConfigPolicy Otorga permiso para obtener información sobre una política de registro de consultas de Resolver especificada, que especifica las operaciones de registro de consultas de Resolver y los recursos que usted desea permitir que utilice otra Cuenta de AWS. Read

resolver-query-log-config*

GetResolverRule Otorga permiso para obtener información sobre una regla de resolución especificada, como, por ejemplo, el nombre de dominio al que la regla envía las consultas de DNS y la dirección IP a la que se envían las consultas. Read

resolver-rule*

GetResolverRuleAssociation Otorga permiso para obtener información acerca de una asociación entre una regla de Resolver especificada y una VPC. Read

resolver-rule*

GetResolverRulePolicy Otorga permiso para obtener información acerca de una política de reglas de Resolver, que especifica las operaciones y recursos de Resolver que usted desea permitir que utilice otra Cuenta de AWS. Read

resolver-rule*

ImportFirewallDomains Otorga permiso para agregar, quitar o reemplazar dominios de firewall en una lista de dominios de firewall. Write

firewall-domain-list*

ListFirewallConfigs Otorga permiso para enumerar todas las configuraciones del firewall que la Cuenta de AWS actual puede verificar. List

firewall-config*

ec2:DescribeVpcs

ListFirewallDomainLists Otorga permiso para enumerar todo los dominios de firewall que la Cuenta de AWS actual puede utilizar. List
ListFirewallDomains Otorga permiso para enumerar todo el dominio de firewall en una lista de dominios de firewall especificada. List

firewall-domain-list*

ListFirewallRuleGroupAssociations Otorga permiso para mostrar información sobre asociaciones entre Amazon VPC y el grupo de reglas de firewall. List
ListFirewallRuleGroups Otorga permiso para enumerar todos los grupos de reglas de firewall que la Cuenta de AWS actual puede utilizar. List
ListFirewallRules Otorga permiso para enumerar todas las reglas de firewall en un grupo de reglas de firewall especificado. List

firewall-rule-group*

ListResolverConfigs Otorga permiso para enumerar los estados de Resolver Config. List

resolver-config*

ec2:DescribeVpcs

ListResolverDnssecConfigs Otorga permiso para enumerar los estados de compatibilidad de validación de las DNSSEC para las consultas DNS List

resolver-dnssec-config*

ListResolverEndpointIpAddresses Otorga permiso para mostrar las direcciones IP por las que pasan las consultas de DNS que se transfiera a su red (salida) o a sus VPC (entrada) de un punto de conexión Resolver especificado. List

resolver-endpoint*

ListResolverEndpoints Otorga permiso para enumerar todos los puntos de enlace de Resolver que se han creado mediante la Cuenta de AWS actual. List
ListResolverQueryLogConfigAssociations Otorga permiso para enumerar información sobre asociaciones entre Amazon VPC y configuraciones de registro de consultas List

resolver-query-log-config*

ec2:DescribeVpcs

ListResolverQueryLogConfigs Otorga permiso para mostrar información acerca de las configuraciones de registro de consultas especificadas, que definen dónde desea que Resolver guarde los registros de consultas DNS y especifican las VPC para las que desea registrar consultas List

resolver-query-log-config*

ec2:DescribeVpcs

ListResolverRuleAssociations Otorga permiso para obtener una lista de las asociaciones que se han creado entre las reglas de Resolver y las VPC a través de la Cuenta de AWS actual. List
ListResolverRules Otorga permiso para obtener una lista de las reglas de Resolver que se han creado mediante la Cuenta de AWS actual. List
ListTagsForResource Otorga permiso para obtener una lista de las etiquetas que ha asociado con el recurso especificado Read

firewall-domain-list

firewall-rule-group

firewall-rule-group-association

resolver-endpoint

resolver-query-log-config

resolver-rule

PutFirewallRuleGroupPolicy Otorga permiso para especificar una Cuenta de AWS con la que desea compartir un grupo de reglas de firewall, el grupo de reglas de firewall que desea compartir y las operaciones que usted desea que la cuenta pueda realizar en la configuración. Permissions management

firewall-rule-group*

PutResolverQueryLogConfigPolicy Otorga permiso para especificar una Cuenta de AWS con la que desea compartir una configuración de registro de consultas, la configuración de registro de consultas que desea compartir y las operaciones que usted desea que la cuenta pueda realizar en la configuración. Permissions management

resolver-query-log-config*

PutResolverRulePolicy Otorga permiso para especificar una Cuenta de AWS con la que desea compartir reglas, las reglas de Resolver que desea compartir y las operaciones que usted desea que la cuenta pueda realizar en dichas reglas Permissions management

resolver-rule*

TagResource Otorga permiso para agregar una o varias etiquetas a un recurso especificado. Etiquetado

firewall-config

firewall-domain-list

firewall-rule-group

firewall-rule-group-association

resolver-dnssec-config

resolver-endpoint

resolver-query-log-config

resolver-rule

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permiso para eliminar una o más etiquetas de un recurso especificado. Etiquetado

firewall-config

firewall-domain-list

firewall-rule-group

firewall-rule-group-association

resolver-dnssec-config

resolver-endpoint

resolver-query-log-config

resolver-rule

aws:TagKeys

UpdateFirewallConfig Otorga permiso para actualizar la configuración seleccionada para una configuración de firewall. Write

firewall-config*

ec2:DescribeVpcs

UpdateFirewallDomains Otorga permiso para agregar, quitar o reemplazar dominios de firewall en una lista de dominios de firewall. Write

firewall-domain-list*

UpdateFirewallRule Otorga permiso para actualizar la configuración seleccionada para una regla de firewall en un grupo de reglas de firewall. Write

firewall-rule-group*

UpdateFirewallRuleGroupAssociation Otorga permiso para actualizar la configuración seleccionada para una asociación de grupo de reglas de firewall. Escritura

firewall-rule-group-association*

UpdateResolverConfig Otorga permiso para actualizar el estado de Resolver Config dentro del recurso especificado. Escritura

resolver-config*

ec2:DescribeVpcs

UpdateResolverDnssecConfig Otorga permiso para actualizar el estado de compatibilidad de validación de las DNSSEC para las consultas DNS dentro del recurso especificado Write

resolver-dnssec-config*

UpdateResolverEndpoint Otorga permiso para actualizar la configuración seleccionada de un punto de enlace de Resolver de entrada o de salida. Write

resolver-endpoint*

UpdateResolverRule Otorga permiso para actualizar la configuración de una regla de Resolver especificada. Write

resolver-rule*

Tipos de recursos definidos por Amazon Route 53 Resolver

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
resolver-dnssec-config arn:${Partition}:route53resolver:${Region}:${Account}:resolver-dnssec-config/${ResourceId}

aws:ResourceTag/${TagKey}

resolver-query-log-config arn:${Partition}:route53resolver:${Region}:${Account}:resolver-query-log-config/${ResourceId}

aws:ResourceTag/${TagKey}

resolver-rule arn:${Partition}:route53resolver:${Region}:${Account}:resolver-rule/${ResourceId}

aws:ResourceTag/${TagKey}

resolver-endpoint arn:${Partition}:route53resolver:${Region}:${Account}:resolver-endpoint/${ResourceId}

aws:ResourceTag/${TagKey}

firewall-rule-group arn:${Partition}:route53resolver:${Region}:${Account}:firewall-rule-group/${ResourceId}

aws:ResourceTag/${TagKey}

firewall-rule-group-association arn:${Partition}:route53resolver:${Region}:${Account}:firewall-rule-group-association/${ResourceId}

aws:ResourceTag/${TagKey}

firewall-domain-list arn:${Partition}:route53resolver:${Region}:${Account}:firewall-domain-list/${ResourceId}

aws:ResourceTag/${TagKey}

firewall-config arn:${Partition}:route53resolver:${Region}:${Account}:firewall-config/${ResourceId}

aws:ResourceTag/${TagKey}

resolver-config arn:${Partition}:route53resolver:${Region}:${Account}:resolver-config/${ResourceId}

Claves de condición para Amazon Route 53 Resolver

Amazon Route 53 Resolver define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso meidante la presencia de los pares clave-valor de etiqueta adjuntados al recurso. Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString