Gambaran umum pengelolaan izin akses untuk sumber daya Amazon Route 53

Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin.

catatan

administrator akun (atau pengguna administrator) adalah pengguna yang memiliki hak istimewa administrator. Untuk informasi lebih lanjut tentang administrator, lihat praktik terbaik IAM dalam Panduan Pengguna IAM.

Ketika Anda memberikan izin, Anda memutuskan siapa yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan yang mereka dapatkan izinnya untuk tampil.

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM)	Gunakan kredenal sementara untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna. Untuk AWS SDK, alat, dan AWS API, lihat autentikasi Pusat Identitas IAM di Panduan Referensi AWS SDK dan Alat.
IAM	Gunakan kredenal sementara untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS	Mengikuti petunjuk dalam Menggunakan kredensil sementara dengan AWS sumber daya di Panduan Pengguna IAM.
IAM	(Tidak direkomendasikan) Gunakan kredensil jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensil pengguna IAM di Panduan Pengguna.AWS Command Line Interface Untuk AWS SDK dan alat bantu, lihat Mengautentikasi menggunakan kredensil jangka panjang di Panduan Referensi AWS SDK dan Alat. Untuk AWS API, lihat Mengelola kunci akses untuk pengguna IAM di Panduan Pengguna IAM.

Sumber daya ARN untuk Amazon Route 53

Amazon Route 53 mendukung berbagai jenis sumber daya untuk DNS, pemeriksaan kondisi, dan pendaftaran domain. Dalam kebijakan, Anda dapat memberikan atau menolak akses ke sumber daya berikut dengan menggunakan * untuk ARN:

• Pemeriksaan kondisi

• Zona yang di-hosting

• Rangkaian delegasi yang dapat digunakan kembali

• Status kumpulan catatan sumber daya mengubah batch (hanya API)

• Kebijakan lalu lintas (arus lalu lintas)

• Instans kebijakan lalu lintas (arus lalu lintas)

Tidak semua sumber daya Route 53 mendukung izin. Anda tidak dapat memberikan atau menolak akses ke sumber daya berikut:

• Domain

• Catatan individu

• Tanda untuk domain

• Tanda untuk pemeriksaan kesehatan

• Tanda untuk zona yang di-host

Route 53 menyediakan tindakan API untuk bekerja dengan masing-masing jenis sumber daya ini. Untuk informasi lebih lanjut, lihat Referensi API Amazon Route 53. Untuk daftar tindakan dan ARN yang Anda tetapkan untuk memberikan atau menolak izin penggunaan setiap tindakan, lihat Izin API Amazon Route 53: Referensi tindakan, sumber daya, dan syarat.

Memahami kepemilikan sumber daya

AWS Akun memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang membuat sumber daya. Secara khusus, pemilik sumber daya adalah AWS akun entitas utama (yaitu, akun root, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya.

Contoh berikut menggambarkan cara kerjanya:

• Jika Anda menggunakan kredensi akun root AWS akun Anda untuk membuat zona yang dihosting, AWS akun Anda adalah pemilik sumber daya.

• Jika Anda membuat pengguna di AWS akun Anda dan memberikan izin untuk membuat zona yang dihosting kepada pengguna tersebut, pengguna dapat membuat zona yang dihosting. Namun, akun AWS Anda yang dimiliki pengguna, memiliki sumber daya zona yang di-hosting.

• Jika Anda membuat peran IAM di AWS akun Anda dengan izin untuk membuat zona yang dihosting, siapa pun yang dapat mengambil peran tersebut dapat membuat zona yang dihosting. AWS Akun Anda, tempat peran tersebut berada, memiliki sumber daya zona yang dihosting.

Mengelola akses ke sumber daya

Sebuah kebijakan izin menentukan siapa yang memiliki akses ke apa. Bagian ini menjelaskan opsi untuk membuat kebijakan izin untuk Amazon Route 53. Untuk informasi umum tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Kebijakan yang melekat pada identitas IAM disebut sebagai kebijakan berbasis identitas (IAM), dan kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. Route 53 hanya mendukung kebijakan berbasis identitas (kebijakan IAM).

Topik

• Kebijakan berbasis identitas (kebijakan IAM)
• Kebijakan berbasis sumber daya

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut:

• Lampirkan kebijakan izin ke pengguna atau grup dalam akun Anda – Administrator akun dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin bagi pengguna tersebut untuk membuat sumber daya Amazon Route 53.

• Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat memberikan izin untuk melakukan tindakan Route 53 kepada pengguna yang dibuat oleh akun lain. AWS Untuk melakukannya, Anda melampirkan kebijakan izin pada IAM role, kemudian Anda mengizinkan pengguna di akun lain untuk menjalankan peran tersebut. Contoh berikut menjelaskan cara kerjanya untuk dua akun AWS , akun A dan B:

  1. Akun Administrator membuat IAM role dan melampirkan ke peran tersebut kebijakan izin yang memberikan izin untuk membuat atau mengakses sumber daya yang dimiliki oleh akun A.

  2. Akun Administrator melampirkan kebijakan kepercayaan pada peran tersebut. Kebijakan kepercayaan mengidentifikasi akun B sebagai prinsipal yang dapat menjalankan peran tersebut.

  3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran ke pengguna atau grup di akun B. Ini memungkinkan pengguna di akun B untuk membuat atau mengakses sumber daya di akun A.

  Untuk informasi selengkapnya tentang cara mendelegasikan izin kepada pengguna di AWS akun lain, lihat Manajemen akses di Panduan Pengguna IAM.

Kebijakan contoh berikut memungkinkan pengguna untuk melakukan tindakan CreateHostedZone untuk membuat zona yang di-hosting publik untuk setiap akun AWS :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Jika Anda ingin kebijakan juga berlaku untuk zona yang di-hosting pribadi, Anda perlu memberikan izin untuk menggunakan tindakan AssociateVPCWithHostedZone Route 53 dan dua tindakan Amazon EC2, DescribeVpcs dan DescribeRegion, seperti yang ditunjukkan dalam contoh berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Untuk informasi selengkapnya tentang melampirkan kebijakan pada identitas untuk Route 53, lihat Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon Route 53 . Untuk informasi lebih lanjut tentang pengguna, kelompok, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) dalam Panduan Pengguna IAM.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, juga support melampirkan kebijakan izin untuk sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. Amazon Route 53 tidak mendukung melampirkan kebijakan untuk sumber daya. 

Menentukan elemen kebijakan: Sumber daya, tindakan, efek, dan penanggung jawab

Amazon Route 53 termasuk tindakan API (lihat Referensi API Amazon Route 53) yang dapat Anda gunakan pada setiap sumber daya Route 53 (lihat Sumber daya ARN untuk Amazon Route 53). Anda dapat memberikan pengguna atau izin pengguna gabungan untuk melakukan salah satu atau semua tindakan ini. Perhatikan bahwa beberapa tindakan API, seperti mendaftarkan domain, memerlukan izin untuk melakukan lebih dari satu tindakan.

Berikut ini adalah elemen-elemen kebijakan dasar:

• Sumber daya – Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat Sumber daya ARN untuk Amazon Route 53.

• Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada Effect yang ditentukan, izin route53:CreateHostedZone memungkinkan atau menolak izin pengguna untuk melakukan tindakan CreateHostedZone Route 53.

• Efek – Anda menentukan efeknya, apakah mengizinkan atau menolak, ketika pengguna mencoba melakukan tindakan pada sumber daya tertentu. Jika Anda tidak secara eksplisit memberikan akses ke suatu tindakan, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses hibah kebijakan yang berbeda.

• Principal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). Route 53 tidak mendukung kebijakan berbasis sumber daya.

Untuk informasi lebih lanjut tentang sintaksis dan deskripsi kebijakan IAM, lihat AWS Referensi Kebijakan IAM di Panduan Pengguna IAM.

Untuk tabel yang menampilkan semua operasi API Route 53 dan sumber daya yang mereka terapkan, lihat Izin API Amazon Route 53: Referensi tindakan, sumber daya, dan syarat.

Menentukan kondisi dalam kebijakan

Saat Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kapan kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan ketentuan dalam bahasa kebijakan, lihat elemen kebijakan JSON IAM: Syarat dalam Panduan Pengguna IAM.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Tidak ada tombol syarat khusus untuk Route 53. Namun, ada tombol kondisi AWS lebar yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS lebar, lihat Kunci yang tersedia untuk kondisi di Panduan Pengguna IAM.