Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon Route 53 Resolver
Amazon Route 53 Resolver (préfixe de service :route53resolver) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation. IAM
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par Amazon Route 53 Resolver
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AssociateFirewallRuleGroup | Accorde l'autorisation d'associer un Amazon VPC à un groupe de règles de pare-feu spécifié | Écrire |
ec2:DescribeVpcs |
||
| AssociateResolverEndpointIpAddress | Accorde l'autorisation d'associer une adresse IP spécifiée à un point de terminaison Resolver. Il s'agit d'une adresse IP par laquelle les DNS requêtes sont transmises sur le chemin de votre réseau (sortant) ou de votre réseau VPCs (entrant) | Écrire |
ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets |
||
| AssociateResolverQueryLogConfig | Accorde l'autorisation d'associer un Amazon VPC à une configuration de journalisation des requêtes spécifiée | Écrire |
ec2:DescribeVpcs |
||
| AssociateResolverRule | Accorde l'autorisation d'associer une règle de résolution spécifiée à une VPC | Écrire |
ec2:DescribeVpcs |
||
| CreateFirewallDomainList | Accorde l'autorisation de créer une liste de domaines de pare-feu. | Écriture | |||
| CreateFirewallRule | Accorde l'autorisation de créer une règle de pare-feu dans un groupe de règles de pare-feu. | Écriture | |||
| CreateFirewallRuleGroup | Accorde l'autorisation de créer un groupe de règles de pare-feu. | Écrire | |||
| CreateOutpostResolver | Octroie l'autorisation de créer un résolveur Route 53 sur Outposts. | Écrire |
outposts:GetOutpost |
||
| CreateResolverEndpoint | Accorde l'autorisation de créer un point de terminaison Resolver. Il existe deux types de points de terminaison Resolver : les points entrants et les points sortants | Écrire |
ec2:CreateNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeVpcs |
||
| CreateResolverQueryLogConfig | Accorde l'autorisation de créer une configuration de journalisation des requêtes Resolver, qui définit où vous souhaitez que Resolver enregistre les journaux de DNS requêtes provenant de votre VPCs | Écrire | |||
| CreateResolverRule | Accorde l'autorisation de définir comment acheminer les requêtes provenant de vous VPC hors du VPC | Écrire | |||
| DeleteFirewallDomainList | Accorde l'autorisation de supprimer une liste de domaines de pare-feu. | Écriture | |||
| DeleteFirewallRule | Accorde l'autorisation de supprimer une règle de pare-feu dans un groupe de règles de pare-feu. | Écriture | |||
| DeleteFirewallRuleGroup | Accorde l'autorisation de supprimer un groupe de règles de pare-feu. | Écrire | |||
| DeleteOutpostResolver | Octroie l'autorisation de supprimer un résolveur Route 53 sur Outposts. | Écrire | |||
| DeleteResolverEndpoint | Accorde l'autorisation de supprimer un point de terminaison Resolver. L'effet de la suppression d'un point de terminaison Resolver varie selon qu'il s'agit d'un point de terminaison entrant ou sortant | Écriture |
ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces |
||
| DeleteResolverQueryLogConfig | Accorde l'autorisation de supprimer une configuration de journalisation des requêtes Resolver | Écriture | |||
| DeleteResolverRule | Accorde l'autorisation de supprimer une règle Resolver | Écrire | |||
| DisassociateFirewallRuleGroup | Accorde l'autorisation de supprimer l'association entre un groupe de règles de pare-feu spécifié et un VPC | Écrire | |||
| DisassociateResolverEndpointIpAddress | Accorde l'autorisation de supprimer une adresse IP spécifiée à partir d'un point de terminaison Resolver. Il s'agit d'une adresse IP par laquelle les DNS requêtes sont transmises sur le chemin de votre réseau (sortant) ou de votre réseau VPCs (entrant) | Écrire |
ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces |
||
| DisassociateResolverQueryLogConfig | Accorde l'autorisation de supprimer l'association entre une configuration de journalisation des requêtes Resolver spécifiée et une VPC | Écrire | |||
| DisassociateResolverRule | Accorde l'autorisation de supprimer l'association entre une règle de résolution spécifiée et une VPC | Écrire | |||
| GetFirewallConfig | Accorde l'autorisation d'obtenir des informations d'une configuration de pare-feu spécifiée. | Lecture |
ec2:DescribeVpcs |
||
| GetFirewallDomainList | Accorde l'autorisation d'obtenir des informations sur une liste de domaines de pare-feu spécifiée. | Lecture | |||
| GetFirewallRuleGroup | Accorde l'autorisation d'obtenir des informations sur un groupe de règles de pare-feu spécifié. | Lecture | |||
| GetFirewallRuleGroupAssociation | Accorde l'autorisation d'obtenir des informations sur une association entre un groupe de règles de pare-feu spécifié et un VPC | Lecture | |||
| GetFirewallRuleGroupPolicy | Accorde l'autorisation d'obtenir des informations sur une politique de groupe de règles de pare-feu spécifiée, qui spécifie les opérations et les ressources du groupe de règles de pare-feu que vous souhaitez autoriser un autre Compte AWS à utiliser | Lecture | |||
| GetOutpostResolver | Octroie l'autorisation d'obtenir des informations sur un résolveur Route 53 spécifié sur Outposts. | Lecture | |||
| GetResolverConfig | Accorde l'autorisation d'obtenir l'état de Resolver Config dans la ressource spécifiée | Lecture |
ec2:DescribeVpcs |
||
| GetResolverDnssecConfig | Accorde l'autorisation d'obtenir le statut d'assistance à la DNSSEC validation pour les DNS requêtes au sein de la ressource spécifiée | Lecture | |||
| GetResolverEndpoint | Accorde l'autorisation d'obtenir des informations sur un point de terminaison de résolution spécifié, par exemple s'il s'agit d'un point de terminaison entrant ou sortant, et les adresses IP de votre terminal vers VPC lequel les DNS requêtes sont transférées à l'entrée ou à la sortie de votre VPC | Lecture | |||
| GetResolverQueryLogConfig | Accorde l'autorisation d'obtenir des informations sur une configuration de journalisation des requêtes Resolver spécifiée, telles VPCs que le nombre de requêtes pour lesquelles la configuration enregistre les requêtes et l'emplacement vers lequel les journaux sont envoyés | Lecture |
ec2:DescribeVpcs |
||
| GetResolverQueryLogConfigAssociation | Accorde l'autorisation d'obtenir des informations sur une association spécifiée entre une configuration de journalisation des requêtes Resolver et un AmazonVPC. Lorsque vous associez un à une VPC configuration de journalisation des requêtes, Resolver enregistre les DNS requêtes qui proviennent de cette configuration VPC | Lecture | |||
| GetResolverQueryLogConfigPolicy | Accorde l'autorisation d'obtenir des informations sur une politique de journalisation des requêtes du résolveur spécifiée, qui spécifie les opérations de journalisation des requêtes du résolveur et les ressources que vous souhaitez autoriser un autre Compte AWS à utiliser | Lecture | |||
| GetResolverRule | Accorde l'autorisation d'obtenir des informations sur une règle de résolution spécifiée, telles que le nom de domaine pour lequel la règle transmet les DNS requêtes et l'adresse IP à laquelle les requêtes sont transférées | Lecture | |||
| GetResolverRuleAssociation | Accorde l'autorisation d'obtenir des informations sur une association entre une règle de résolution spécifiée et un VPC | Lecture | |||
| GetResolverRulePolicy | Accorde l'autorisation d'obtenir des informations sur une politique de règle du résolveur, qui spécifie les opérations et les ressources du résolveur que vous souhaitez autoriser un autre Compte AWS à utiliser | Lecture | |||
| ImportFirewallDomains | Accorde l'autorisation d'ajouter, de supprimer ou de remplacer des domaines de pare-feu dans une liste de domaines de pare-feu. | Écrire | |||
| ListFirewallConfigs | Accorde l'autorisation de répertorier toutes les configurations de pare-feu que la configuration actuelle Compte AWS est en mesure de vérifier | Liste |
ec2:DescribeVpcs |
||
| ListFirewallDomainLists | Octroie l'autorisation de répertorier tous les domaines de pare-feu que la version actuelle Compte AWS est en mesure d'utiliser | Liste | |||
| ListFirewallDomains | Accorde l'autorisation de répertorier tous les domaines de pare-feu sous la forme d'une liste de domaines de pare-feu spécifiée. | Liste | |||
| ListFirewallRuleGroupAssociations | Accorde l'autorisation de répertorier les informations relatives aux associations entre Amazon VPCs et le groupe de règles Firewall | Liste | |||
| ListFirewallRuleGroups | Accorde l'autorisation de répertorier tous les groupes de règles de pare-feu que le système actuel Compte AWS est en mesure d'utiliser | Liste | |||
| ListFirewallRules | Accorde l'autorisation de répertorier toutes les règles de pare-feu sous la forme d'un groupe de règles de pare-feu spécifié. | Liste | |||
| ListOutpostResolvers | Permet de répertorier toutes les instances de Route 53 Resolver sur les Outposts créées à l'aide du Compte AWS | Liste | |||
| ListResolverConfigs | Accorde l'autorisation de répertorier les statuts de Resolver Config | Liste |
ec2:DescribeVpcs |
||
| ListResolverDnssecConfigs | Accorde l'autorisation de répertorier le statut d'assistance à la DNSSEC validation pour les DNS requêtes | Liste | |||
| ListResolverEndpointIpAddresses | Accorde l'autorisation de répertorier les adresses IP par lesquelles les DNS requêtes passent sur le chemin de votre réseau (sortant) ou de votre réseau VPCs (entrant) pour un point de terminaison de résolution spécifié | Liste | |||
| ListResolverEndpoints | Accorde l'autorisation de répertorier tous les points de terminaison du résolveur créés à l'aide du Compte AWS | Liste | |||
| ListResolverQueryLogConfigAssociations | Accorde l'autorisation de répertorier des informations sur les associations entre Amazon VPCs et les configurations de journalisation des requêtes | Liste |
ec2:DescribeVpcs |
||
| ListResolverQueryLogConfigs | Accorde l'autorisation de répertorier les informations sur les configurations de journalisation des requêtes spécifiées, qui définissent l'endroit où vous souhaitez que Resolver enregistre les journaux de DNS requêtes et spécifient VPCs ceux pour lesquels vous souhaitez enregistrer les requêtes | Liste |
ec2:DescribeVpcs |
||
| ListResolverRuleAssociations | Accorde l'autorisation de répertorier les associations créées entre les règles du résolveur et VPCs à l'aide du Compte AWS | Liste |
ec2:DescribeVpcs |
||
| ListResolverRules | Accorde l'autorisation de répertorier les règles du résolveur créées à l'aide du Compte AWS | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises que vous avez associées à la ressource spécifiée | Lecture | |||
| PutFirewallRuleGroupPolicy | Accorde l'autorisation de spécifier un Compte AWS groupe de règles de pare-feu avec lequel vous souhaitez partager un groupe de règles de pare-feu, le groupe de règles de pare-feu que vous souhaitez partager et les opérations que vous souhaitez que le compte puisse effectuer sur la configuration | Gestion des autorisations | |||
| PutResolverQueryLogConfigPolicy | Accorde l'autorisation de spécifier une Compte AWS configuration de journalisation des requêtes avec laquelle vous souhaitez partager une configuration de journalisation des requêtes, la configuration de journalisation des requêtes que vous souhaitez que le compte puisse effectuer sur la configuration | Gestion des autorisations | |||
| PutResolverRulePolicy | Accorde l'autorisation de spécifier les règles avec Compte AWS lesquelles vous souhaitez partager des règles, les règles du résolveur que vous souhaitez partager et les opérations que vous souhaitez que le compte puisse effectuer sur ces règles | Gestion des autorisations | |||
| TagResource | Accorde l'autorisation d'ajouter une ou plusieurs balises à la ressource spécifiée | Balisage | |||
| UntagResource | Accorde l'autorisation de supprimer une ou plusieurs balises de la ressource spécifiée | Balisage | |||
| UpdateFirewallConfig | Accorde l'autorisation de mettre à jour des paramètres sélectionnés pour une configuration de pare-feu. | Écriture |
ec2:DescribeVpcs |
||
| UpdateFirewallDomains | Accorde l'autorisation d'ajouter, de supprimer ou de remplacer des domaines de pare-feu dans une liste de domaines de pare-feu. | Écriture | |||
| UpdateFirewallRule | Accorde l'autorisation de mettre à jour des paramètres sélectionnés pour une règle de pare-feu dans un groupe de règles de pare-feu. | Écriture | |||
| UpdateFirewallRuleGroupAssociation | Accorde l'autorisation de mettre à jour des paramètres sélectionnés pour une association de groupes de règles de pare-feu. | Écrire | |||
| UpdateOutpostResolver | Octroie l'autorisation de mettre à jour les paramètres sélectionnés d'un résolveur Route 53 spécifié sur Outposts. | Écrire | |||
| UpdateResolverConfig | Accorde l'autorisation de mettre à jour l'état de Resolver Config dans la ressource spécifiée | Écrire |
ec2:DescribeVpcs |
||
| UpdateResolverDnssecConfig | Accorde l'autorisation de mettre à jour le statut de support de DNSSEC validation pour les DNS requêtes au sein de la ressource spécifiée | Écrire | |||
| UpdateResolverEndpoint | Accorde l'autorisation de mettre à jour les paramètres d'un point de terminaison Resolver entrant ou sortant. | Écriture |
ec2:AssignIpv6Addresses ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:ModifyNetworkInterfaceAttribute ec2:UnassignIpv6Addresses |
||
| UpdateResolverRule | Accorde l'autorisation de mettre à jour les paramètres d'une règle Resolver spécifiée | Écriture |
Types de ressources définis par Amazon Route 53 Resolver
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| resolver-dnssec-config |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-dnssec-config/${ResourceId}
|
|
| resolver-query-log-config |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-query-log-config/${ResourceId}
|
|
| resolver-rule |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-rule/${ResourceId}
|
|
| resolver-endpoint |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-endpoint/${ResourceId}
|
|
| firewall-rule-group |
arn:${Partition}:route53resolver:${Region}:${Account}:firewall-rule-group/${ResourceId}
|
|
| firewall-rule-group-association |
arn:${Partition}:route53resolver:${Region}:${Account}:firewall-rule-group-association/${ResourceId}
|
|
| firewall-domain-list |
arn:${Partition}:route53resolver:${Region}:${Account}:firewall-domain-list/${ResourceId}
|
|
| firewall-config |
arn:${Partition}:route53resolver:${Region}:${Account}:firewall-config/${ResourceId}
|
|
| resolver-config |
arn:${Partition}:route53resolver:${Region}:${Account}:resolver-config/${ResourceId}
|
|
| outpost-resolver |
arn:${Partition}:route53resolver:${Region}:${Account}:outpost-resolver/${ResourceId}
|
Clés de condition pour Amazon Route 53 Resolver
Amazon Route 53 Resolver définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur de balise attachées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de clés d'identification dans la demande | ArrayOfString |
