Panoramica della gestione delle autorizzazioni di accesso alle risorse di Amazon Route 53

Ogni risorsa AWS è di proprietà di un account AWS e le autorizzazioni necessarie per creare o accedere a una risorsa sono regolate dalle policy di autorizzazione.

Nota

Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni sugli amministratori, consulta Best practice IAM nella Guida per l'utente di IAM.

Quando concedi le autorizzazioni, devi specificare gli utenti che le riceveranno e le risorse per cui le concedi, nonché le operazioni specifiche per cui ottengono le autorizzazioni.

Gli utenti hanno bisogno di un accesso programmatico se desiderano interagire con AWS esternamente a AWS Management Console. La modalità con cui concedere l'accesso programmatico dipende dal tipo di utente che accede ad AWS.

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti nel centro identità IAM)	Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta la pagina Configurazione della AWS CLI per l'uso di AWS IAM Identity Center nella Guida per l'utente dell'AWS Command Line Interface. Per gli SDK AWS, gli strumenti e le API AWS, consulta la pagina Autenticazione Centro identità IAM nella Guida di riferimento per SDK e strumenti AWS.
IAM	Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni in Utilizzo di credenziali temporanee con le risorse AWS nella Guida per l'utente IAM.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta la pagina Autenticazione tramite credenziali utente IAM nella Guida per l'utente dell'AWS Command Line Interface. Per gli SDK e gli strumenti AWS, consulta la pagina Autenticazione con credenziali a lungo termine nella Guida di riferimento per SDK e strumenti AWS. Per le API AWS, consulta la pagina Gestione delle chiavi di accesso per utenti IAM nella Guida per l'utente IAM.

ARN per le risorse Amazon Route 53

Amazon Route 53 supporta diversi tipi di risorse per il DNS, il controllo dell'integrità e la registrazione dei domini. In una policy, puoi concedere o negare l'accesso alle seguenti risorse utilizzando * per l'ARN:

• Controlli dell'integrità

• Zona ospitata

• Set di deleghe riutilizzabili

• Status di un set di record di risorse modifica batch (API)

• Policy di traffico (flusso di traffico)

• Istanze di policy di traffico (flusso di traffico)

Non tutte le risorse Route 53 supportano le autorizzazioni. Non puoi concedere o negare l'accesso alle risorse seguenti:

• Domini

• Singoli record

• Tag per domini

• Tag per i controlli dell'integrità

• Tag per hosted zone

Route 53 fornisce operazioni API per lavorare con ognuno di questi tipi di risorse. Per ulteriori informazioni, consulta il riferimento API di Amazon Route 53. Per un elenco di operazioni e l'ARN che specifichi per concedere o negare l'autorizzazione a utilizzare ciascuna operazione, consulta Autorizzazioni API di Amazon Route 53: riferimento a operazioni, risorse e condizioni.

Informazioni sulla proprietà delle risorse

Un account AWS possiede le risorse che vengono create nell'account, indipendentemente da chi ha creato le risorse. Nello specifico, il proprietario della risorsa è l'account AWS dell'entità principale (ovvero l'account root o un ruolo IAM) che autentica la richiesta di creazione della risorsa.

Negli esempi seguenti viene illustrato il funzionamento:

• Se utilizzi le credenziali dell'account root del tuo account AWS per creare una zona ospitata, il tuo account AWS è il proprietario della risorsa.

• Se crei un utente nel tuo account AWS e concedi a tale utente le autorizzazioni per la creazione di una zona ospitata, l'utente potrà creare una zona ospitata. Tieni presente tuttavia che il tuo account AWS è il proprietario della risorsa della zona ospitata.

• Se crei un ruolo IAM nel tuo account AWS con le autorizzazioni per creare una zona ospitata, chiunque sia in grado di assumere il ruolo potrà creare una zona ospitata. L'account AWS (a cui appartiene il ruolo) è il proprietario della risorsa della zona ospitata.

Gestione dell'accesso alle risorse

Una policy di autorizzazione specifica chi ha accesso a cosa. In questa sezione sono descritte le opzioni per la creazione di policy relative alle autorizzazioni per Amazon Route 53. Per informazioni generali sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Informazioni di riferimento sulle policy IAM AWS nella Guida per l'utente di IAM.

Le policy associate a un'identità IAM sono denominate policy basate su identità (policy IAM), mentre le policy associate a una risorsa sono denominate policy basate su risorsa. Route 53 supporta solo policy basate su identità (policy IAM).

Argomenti

• Policy basate su identità (policy IAM)
• Policy basate su risorse

Policy basate su identità (policy IAM)

Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:

• Collega una policy di autorizzazione a un utente o a un gruppo nell'account: un amministratore account può utilizzare una policy di autorizzazione associata a un utente specifico per concedere autorizzazioni per tale utente al fine di creare risorse di Amazon Route 53.

• Collega una policy di autorizzazioni a un ruolo (concedere autorizzazioni a più account): puoi concedere le autorizzazioni per eseguire operazioni di Route 53 a un utente che è stato creato da un altro account AWS. Per farlo, puoi collegare una policy di autorizzazioni a un ruolo IAM e poi consentire all'utente nell'altro account di assumere il ruolo. L'esempio seguente spiega come questo funziona per due account AWS, account A e account B:

  1. L'amministratore dell'account A crea un ruolo IAM e lo collega a una policy di autorizzazioni che concede le autorizzazioni per creare o accedere alle risorse di proprietà dell'account A.

  2. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo. La policy di attendibilità identifica l'account B come l'identità principale che può assumere il ruolo.

  3. L'amministratore dell'account B può delegare le autorizzazioni di assumere il ruolo a qualsiasi degli utenti o gruppi nell'account B. In questo modo gli utenti nell'account B possono creare o accedere a risorse nell'account A.

  Per ulteriori informazioni su come delegare le autorizzazioni agli utenti in un altro account AWS, consulta Gestione degli accessi nella Guida per l'utente di IAM.

L'esempio di policy seguente consente a un utente di eseguire l'operazione CreateHostedZone per creare una zona ospitata pubblica per qualsiasi account AWS:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Se desidera che la policy si applichi anche a zone ospitate private, devi concedere le autorizzazioni per utilizzare l'operazione AssociateVPCWithHostedZone di Route 53 e due operazioni Amazon EC2, DescribeVpcs e DescribeRegion, come mostrato nel seguente esempio:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Per ulteriori informazioni su come collegare policy alle identità per Route 53, consulta Utilizzo di policy basate su identità (policy IAM) per Amazon Route 53. Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consultare Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.

Policy basate su risorse

Anche altri servizi, come Amazon S3, supportano il collegamento di policy di autorizzazioni alle risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket. Amazon Route 53 non supporta il collegamento di policy alle risorse. 

Definizione degli elementi delle policy: risorse, operazioni, effetti ed entità principali

Amazon Route 53 include operazioni API (consulta la Documentazione di riferimento delle API di Amazon Route 53) utilizzabili per ciascuna risorsa Route 53 (consulta ARN per le risorse Amazon Route 53). Puoi concedere a un utente o a un utente federato le autorizzazioni per eseguire una o tutte queste operazioni. Alcune operazioni API, ad esempio la registrazione di un dominio, richiedono le autorizzazioni per eseguire più di un'operazione.

Di seguito sono elencati gli elementi di base di una policy:

• Risorsa - Usa un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta ARN per le risorse Amazon Route 53.

• Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda dell'Effect specificato, l'autorizzazione route53:CreateHostedZone consente o rifiuta all'utente la possibilità di eseguire l'operazione CreateHostedZone di Route 53.

• Effetto - Specifichi l'effetto (autorizzazione o rifiuto) quando un utente prova a eseguire l'operazione sulla risorsa specificata. Se non concedi esplicitamente l'accesso a un'operazione, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

• Principale - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). Route 53 non supporta le policy basate su risorse.

Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Informazioni di riferimento sulle policy IAM AWS nella Guida per l'utente di IAM.

Per una tabella che riporta tutte le operazioni API di Route 53 e le risorse a cui si applicano, consulta Autorizzazioni API di Amazon Route 53: riferimento a operazioni, risorse e condizioni.

Specifica delle condizioni in una policy

Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare quando la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta Elementi delle policy JSON IAM: Condizione nella Guida per l'utente di IAM.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per Route 53. Tuttavia, sono disponibili chiavi di condizione AWS che puoi utilizzare secondo necessità. Per un elenco completo di chiavi AWS, consulta Chiavi disponibili per le condizioni nella Guida per l'utente di IAM.