Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kunci tindakan, sumber daya, dan kondisi untuk Amazon Route 53
Amazon Route 53 (awalan layanan:route53) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar Operasi API yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.
Topik
Tindakan yang ditentukan oleh Amazon Route 53
Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| ActivateKeySigningKey | Memberikan izin untuk mengaktifkan kunci penandatanganan kunci sehingga dapat digunakan untuk penandatanganan oleh DNSSEC | Tulis | |||
| AssociateVPCWithHostedZone | Memberikan izin untuk mengaitkan VPC Amazon tambahan dengan zona host pribadi | Tulis |
ec2:DescribeVpcs |
||
| ChangeCidrCollection | Memberikan izin untuk membuat atau menghapus blok CIDR dalam koleksi CIDR | Tulis | |||
| ChangeResourceRecordSets | Memberikan izin untuk membuat, memperbarui, atau menghapus catatan, yang berisi informasi DNS otoritatif untuk nama domain atau subdomain tertentu | Tulis | |||
|
route53:ChangeResourceRecordSetsNormalizedRecordNames |
|||||
| ChangeTagsForResource | Memberikan izin untuk menambah, mengedit, atau menghapus tag untuk pemeriksaan kesehatan atau zona yang dihosting | Penandaan | |||
| CreateCidrCollection | Memberikan izin untuk membuat koleksi CIDR baru | Tulis | |||
| CreateHealthCheck | Memberikan izin untuk membuat pemeriksaan kesehatan baru, yang memantau kesehatan dan kinerja aplikasi web, server web, dan sumber daya lainnya | Tulis | |||
| CreateHostedZone | Memberikan izin untuk membuat zona yang dihosting publik, yang Anda gunakan untuk menentukan cara Sistem Nama Domain (DNS) merutekan lalu lintas di Internet untuk domain, seperti example.com, dan subdomainnya | Tulis |
ec2:DescribeVpcs |
||
| CreateKeySigningKey | Memberikan izin untuk membuat kunci penandatanganan kunci baru yang terkait dengan zona yang dihosting | Tulis | |||
| CreateQueryLoggingConfig | Memberikan izin untuk membuat konfigurasi untuk pencatatan kueri DNS | Tulis | |||
| CreateReusableDelegationSet | Memberikan izin untuk membuat kumpulan delegasi (grup empat server nama) yang dapat digunakan kembali oleh beberapa zona yang dihosting | Tulis | |||
| CreateTrafficPolicy | Memberikan izin untuk membuat kebijakan lalu lintas, yang Anda gunakan untuk membuat beberapa catatan DNS untuk satu nama domain (seperti example.com) atau satu nama subdomain (seperti www.example.com) | Tulis | |||
| CreateTrafficPolicyInstance | Memberikan izin untuk membuat catatan di zona host tertentu berdasarkan pengaturan dalam versi kebijakan lalu lintas tertentu | Tulis | |||
| CreateTrafficPolicyVersion | Memberikan izin untuk membuat versi baru dari kebijakan lalu lintas yang ada | Tulis | |||
| CreateVPCAssociationAuthorization | Memberikan izin untuk mengotorisasi Akun AWS yang membuat VPC tertentu untuk mengirimkan permintaan AssociateVPCWithHostedZone , yang mengaitkan VPC dengan zona host tertentu yang dibuat oleh akun lain | Tulis | |||
| DeactivateKeySigningKey | Memberikan izin untuk menonaktifkan kunci penandatanganan kunci sehingga tidak akan digunakan untuk penandatanganan oleh DNSSEC | Tulis | |||
| DeleteCidrCollection | Memberikan izin untuk menghapus koleksi CIDR | Tulis | |||
| DeleteHealthCheck | Memberikan izin untuk menghapus pemeriksaan kesehatan | Tulis | |||
| DeleteHostedZone | Memberikan izin untuk menghapus zona yang dihosting | Tulis | |||
| DeleteKeySigningKey | Memberikan izin untuk menghapus kunci penandatanganan kunci | Tulis | |||
| DeleteQueryLoggingConfig | Memberikan izin untuk menghapus konfigurasi untuk pencatatan kueri DNS | Tulis | |||
| DeleteReusableDelegationSet | Memberikan izin untuk menghapus set delegasi yang dapat digunakan kembali | Tulis | |||
| DeleteTrafficPolicy | Memberikan izin untuk menghapus kebijakan lalu lintas | Tulis | |||
| DeleteTrafficPolicyInstance | Memberikan izin untuk menghapus instance kebijakan lalu lintas dan semua catatan yang dibuat Route 53 saat Anda membuat instance | Tulis | |||
| DeleteVPCAssociationAuthorization | Memberikan izin untuk menghapus otorisasi untuk mengaitkan Amazon Virtual Private Cloud dengan zona host pribadi Route 53 | Tulis | |||
| DisableHostedZoneDNSSEC | Memberikan izin untuk menonaktifkan penandatanganan DNSSEC di zona host tertentu | Tulis | |||
| DisassociateVPCFromHostedZone | Memberikan izin untuk memisahkan Amazon Virtual Private Cloud dari zona host pribadi Route 53 | Tulis |
ec2:DescribeVpcs |
||
| EnableHostedZoneDNSSEC | Memberikan izin untuk mengaktifkan penandatanganan DNSSEC di zona host tertentu | Tulis | |||
| GetAccountLimit | Memberikan izin untuk mendapatkan batas yang ditentukan untuk akun saat ini, misalnya, jumlah maksimum pemeriksaan kesehatan yang dapat Anda buat menggunakan akun | Baca | |||
| GetChange | Memberikan izin untuk mendapatkan status permintaan saat ini untuk membuat, memperbarui, atau menghapus satu atau beberapa catatan | Daftar | |||
| GetCheckerIpRanges | Memberikan izin untuk mendapatkan daftar rentang IP yang digunakan oleh pemeriksa kesehatan Route 53 untuk memeriksa kesehatan sumber daya Anda | Daftar | |||
| GetDNSSEC | Memberikan izin untuk mendapatkan informasi tentang DNSSEC untuk zona host tertentu, termasuk kunci penandatanganan kunci di zona yang dihosting | Baca | |||
| GetGeoLocation | Memberikan izin untuk mendapatkan informasi tentang apakah lokasi geografis tertentu didukung untuk catatan geolokasi Route 53 | Daftar | |||
| GetHealthCheck | Memberikan izin untuk mendapatkan informasi tentang pemeriksaan kesehatan tertentu | Baca | |||
| GetHealthCheckCount | Memberikan izin untuk mendapatkan jumlah pemeriksaan kesehatan yang terkait dengan saat ini Akun AWS | Daftar | |||
| GetHealthCheckLastFailureReason | Memberikan izin untuk mendapatkan alasan bahwa pemeriksaan kesehatan tertentu gagal baru-baru ini | Daftar | |||
| GetHealthCheckStatus | Memberikan izin untuk mendapatkan status pemeriksaan kesehatan tertentu | Daftar | |||
| GetHostedZone | Memberikan izin untuk mendapatkan informasi tentang zona host tertentu termasuk empat server nama yang Route 53 ditetapkan ke zona yang dihosting | Daftar | |||
| GetHostedZoneCount | Memberikan izin untuk mendapatkan jumlah zona yang dihosting yang terkait dengan saat ini Akun AWS | Daftar | |||
| GetHostedZoneLimit | Memberikan izin untuk mendapatkan batas yang ditentukan untuk zona host tertentu | Baca | |||
| GetQueryLoggingConfig | Memberikan izin untuk mendapatkan informasi tentang konfigurasi tertentu untuk pencatatan kueri DNS | Baca | |||
| GetReusableDelegationSet | Memberikan izin untuk mendapatkan informasi tentang kumpulan delegasi yang dapat digunakan kembali yang ditentukan, termasuk empat server nama yang ditetapkan ke set delegasi | Daftar | |||
| GetReusableDelegationSetLimit | Memberikan izin untuk mendapatkan jumlah maksimum zona host yang dapat Anda kaitkan dengan set delegasi yang dapat digunakan kembali yang ditentukan | Baca | |||
| GetTrafficPolicy | Memberikan izin untuk mendapatkan informasi tentang versi kebijakan lalu lintas tertentu | Baca | |||
| GetTrafficPolicyInstance | Memberikan izin untuk mendapatkan informasi tentang contoh kebijakan lalu lintas tertentu | Baca | |||
| GetTrafficPolicyInstanceCount | Memberikan izin untuk mendapatkan jumlah instans kebijakan lalu lintas yang terkait dengan saat ini Akun AWS | Baca | |||
| ListCidrBlocks | Memberikan izin untuk mendapatkan daftar blok CIDR dalam koleksi CIDR tertentu | Daftar | |||
| ListCidrCollections | Memberikan izin untuk mendapatkan daftar koleksi CIDR yang terkait dengan saat ini Akun AWS | Daftar | |||
| ListCidrLocations | Memberikan izin untuk mendapatkan daftar lokasi CIDR yang termasuk dalam koleksi CIDR tertentu | Daftar | |||
| ListGeoLocations | Memberikan izin untuk mendapatkan daftar lokasi geografis yang didukung Route 53 untuk geolokasi | Baca | |||
| ListHealthChecks | Memberikan izin untuk mendapatkan daftar pemeriksaan kesehatan yang terkait dengan saat ini Akun AWS | Baca | |||
| ListHostedZones | Memberikan izin untuk mendapatkan daftar zona host publik dan pribadi yang terkait dengan saat ini Akun AWS | Daftar | |||
| ListHostedZonesByName | Memberikan izin untuk mendapatkan daftar zona yang dihosting Anda dalam urutan leksikografi. Zona yang dihosting diurutkan berdasarkan nama dengan label dibalik, misalnya, com.example.www | Daftar | |||
| ListHostedZonesByVPC | Memberikan izin untuk mendapatkan daftar semua zona host pribadi yang terkait dengan VPC tertentu | Daftar |
ec2:DescribeVpcs |
||
| ListQueryLoggingConfigs | Memberikan izin untuk membuat daftar konfigurasi untuk pencatatan kueri DNS yang terkait dengan saat ini Akun AWS atau konfigurasi yang terkait dengan zona host tertentu | Daftar | |||
| ListResourceRecordSets | Memberikan izin untuk mencantumkan catatan di zona host tertentu | Daftar | |||
| ListReusableDelegationSets | Memberikan izin untuk mencantumkan kumpulan delegasi yang dapat digunakan kembali yang terkait dengan saat ini. Akun AWS | Baca | |||
| ListTagsForResource | Memberikan izin untuk mencantumkan tag untuk satu pemeriksaan kesehatan atau zona yang dihosting | Baca | |||
| ListTagsForResources | Memberikan izin untuk mencantumkan tag hingga 10 pemeriksaan kesehatan atau zona yang dihosting | Baca | |||
| ListTrafficPolicies | Memberikan izin untuk mendapatkan informasi tentang versi terbaru untuk setiap kebijakan lalu lintas yang terkait dengan saat ini Akun AWS. Kebijakan tercantum dalam urutan pembuatannya | Daftar | |||
| ListTrafficPolicyInstances | Memberikan izin untuk mendapatkan informasi tentang instans kebijakan lalu lintas yang Anda buat dengan menggunakan saat ini Akun AWS | Baca | |||
| ListTrafficPolicyInstancesByHostedZone | Memberikan izin untuk mendapatkan informasi tentang instance kebijakan lalu lintas yang Anda buat di zona host tertentu | Daftar | |||
| ListTrafficPolicyInstancesByPolicy | Memberikan izin untuk mendapatkan informasi tentang instance kebijakan lalu lintas yang Anda buat menggunakan versi kebijakan lalu lintas tertentu | Daftar | |||
| ListTrafficPolicyVersions | Memberikan izin untuk mendapatkan informasi tentang semua versi untuk kebijakan lalu lintas tertentu | Daftar | |||
| ListVPCAssociationAuthorizations | Memberikan izin untuk mendapatkan daftar VPC yang dibuat oleh akun lain dan yang dapat dikaitkan dengan zona host tertentu | Daftar | |||
| TestDNSAnswer | Memberikan izin untuk mendapatkan nilai yang dikembalikan Route 53 sebagai respons terhadap kueri DNS untuk nama dan jenis rekaman tertentu | Baca | |||
| UpdateHealthCheck | Memberikan izin untuk memperbarui pemeriksaan kesehatan yang ada | Tulis | |||
| UpdateHostedZoneComment | Memberikan izin untuk memperbarui komentar untuk zona host tertentu | Tulis | |||
| UpdateTrafficPolicyComment | Memberikan izin untuk memperbarui komentar untuk versi kebijakan lalu lintas tertentu | Tulis | |||
| UpdateTrafficPolicyInstance | Memberikan izin untuk memperbarui catatan di zona host tertentu yang dibuat berdasarkan pengaturan dalam versi kebijakan lalu lintas tertentu | Tulis |
Jenis sumber daya yang ditentukan oleh Amazon Route 53
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| cidrcollection |
arn:${Partition}:route53:::cidrcollection/${Id}
|
|
| change |
arn:${Partition}:route53:::change/${Id}
|
|
| delegationset |
arn:${Partition}:route53:::delegationset/${Id}
|
|
| healthcheck |
arn:${Partition}:route53:::healthcheck/${Id}
|
|
| hostedzone |
arn:${Partition}:route53:::hostedzone/${Id}
|
|
| trafficpolicy |
arn:${Partition}:route53:::trafficpolicy/${Id}
|
|
| trafficpolicyinstance |
arn:${Partition}:route53:::trafficpolicyinstance/${Id}
|
|
| queryloggingconfig |
arn:${Partition}:route53:::queryloggingconfig/${Id}
|
|
| vpc |
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
|
Kunci kondisi untuk Amazon Route 53
Amazon Route 53 mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| route53:ChangeResourceRecordSetsActions | Memfilter akses dengan tindakan perubahan, CREATE, UPSERT, atau DELETE, dalam permintaan ChangeResourceRecordSets | ArrayOfString |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | Memfilter akses dengan nama catatan DNS yang dinormalisasi dalam permintaan ChangeResourceRecordSets | ArrayOfString |
| route53:ChangeResourceRecordSetsRecordTypes | Memfilter akses menurut jenis catatan DNS dalam permintaan ChangeResourceRecordSets | ArrayOfString |
