기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Route 53에 사용되는 작업, 리소스 및 조건 키
Amazon Route 53(서비스 접두사: route53)에서는 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
Amazon Route 53에서 정의한 작업
IAM 정책 설명의 Action 요소에서 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| ActivateKeySigningKey | DNSSEC가 서명하는 데 사용할 수 있도록 키 서명 키를 활성화할 수 있는 권한을 부여합니다. | Write | |||
| AssociateVPCWithHostedZone | 추가 Amazon VPC를 프라이빗 호스팅 영역과 연결할 수 있는 권한을 부여합니다. | 쓰기 |
ec2:DescribeVpcs |
||
| ChangeCidrCollection | CIDR 모음 내의 CIDR 블록을 생성하거나 삭제하는 권한을 부여합니다. | 쓰기 | |||
| ChangeResourceRecordSets | 지정된 도메인 또는 하위 도메인 이름에 대한 신뢰할 수 있는 DNS 정보를 포함하는 레코드를 생성, 업데이트 또는 삭제할 수 있는 권한을 부여합니다. | Write | |||
|
route53:ChangeResourceRecordSetsNormalizedRecordNames |
|||||
| ChangeTagsForResource | 상태 확인 또는 호스팅 영역에 대한 태그를 추가, 편집 또는 삭제할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| CreateCidrCollection | 새 CIDR 모음을 생성하는 권한을 부여합니다. | 쓰기 | |||
| CreateHealthCheck | 웹 애플리케이션, 웹 서버 및 기타 리소스의 상태와 성능을 모니터링하는 새 상태 확인을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateHostedZone | Domain Name System(DNS)이 도메인(예: example.com) 및 하위 도메인의 트래픽을 인터넷에서 라우팅하는 방식을 지정하는 데 사용하는 퍼블릭 호스팅 영역을 생성할 수 있는 권한을 부여합니다. | Write |
ec2:DescribeVpcs |
||
| CreateKeySigningKey | 호스팅 영역과 연결된 새 키 서명 키를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateQueryLoggingConfig | DNS 쿼리 로깅에 대한 구성을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateReusableDelegationSet | 다중 호스팅 영역에서 재사용할 수 있는 위임 세트(4개의 이름 서버 그룹)를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateTrafficPolicy | 하나의 도메인 이름(예: example.com) 또는 하나의 하위 도메인 이름(예: www.example.com)에 대한 다중 DNS 레코드를 생성하는 데 사용하는 트래픽 정책을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateTrafficPolicyInstance | 지정된 트래픽 정책 버전의 설정에 따라 지정된 호스팅 영역에 레코드를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateTrafficPolicyVersion | 기존 트래픽 정책의 새 버전을 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateVPCAssociationAuthorization | 지정된 VPC를 생성한 AWS 계정을 승인하여 다른 계정에서 생성된 지정된 호스팅 영역과 VPC를 연결하는 AssociateVPCWithHostedZone 요청을 제출할 수 있는 권한을 부여합니다. | Write | |||
| DeactivateKeySigningKey | DNSSEC가 서명하는 데 사용되지 않도록 키 서명 키를 비활성화할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteCidrCollection | CIDR 모음을 삭제하는 권한을 부여합니다. | 쓰기 | |||
| DeleteHealthCheck | 상태 확인을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteHostedZone | 호스팅 영역을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteKeySigningKey | 키 서명 키를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteQueryLoggingConfig | DNS 쿼리 로깅에 대한 구성을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteReusableDelegationSet | 재사용 가능한 위임 세트를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteTrafficPolicy | 트래픽 정책을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteTrafficPolicyInstance | 트래픽 정책 인스턴스와 인스턴스 생성 시 Route 53에서 생성한 모든 레코드를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteVPCAssociationAuthorization | Amazon Virtual Private Cloud를 Route 53 프라이빗 호스팅 영역과 연결하기 위한 승인을 제거할 수 있는 권한을 부여합니다. | Write | |||
| DisableHostedZoneDNSSEC | 특정 호스팅 영역에서 DNSSEC 서명을 비활성화할 수 있는 권한을 부여합니다. | Write | |||
| DisassociateVPCFromHostedZone | Route 53 프라이빗 호스팅 영역에서 Amazon Virtual Private Cloud를 연결 해제할 수 있는 권한을 부여합니다. | Write |
ec2:DescribeVpcs |
||
| EnableHostedZoneDNSSEC | 특정 호스팅 영역에서 DNSSEC 서명을 활성화할 수 있는 권한을 부여합니다. | Write | |||
| GetAccountLimit | 현재 계정에 대해 지정된 한도를 가져올 수 있는 권한을 부여합니다(예: 계정을 사용하여 생성할 수 있는 최대 상태 확인 수). | Read | |||
| GetChange | 하나 이상의 레코드를 생성, 업데이트 또는 삭제하기 위한 요청의 현재 상태를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetCheckerIpRanges | Route 53 상태 확인 프로그램에서 리소스 상태를 확인하는 데 사용되는 IP 범위의 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetDNSSEC | 호스팅 영역의 키 서명 키를 포함하여 특정 호스팅 영역의 DNSSEC에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetGeoLocation | 지정된 지리적 위치가 Route 53 지리적 위치 레코드에 지원되는지 여부에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetHealthCheck | 지정된 상태 확인에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetHealthCheckCount | 현재 AWS 계정과 연결된 상태 확인의 수를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetHealthCheckLastFailureReason | 지정된 상태 확인이 최근에 실패한 이유를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetHealthCheckStatus | 지정된 상태 확인의 상태를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetHostedZone | Route 53에서 호스팅 영역에 할당한 4개의 이름 서버를 포함하여 지정된 호스팅 영역에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetHostedZoneCount | 현재 AWS 계정과 연결된 호스팅 영역의 수를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetHostedZoneLimit | 지정된 호스팅 영역에 대해 지정된 한도를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetQueryLoggingConfig | DNS 쿼리 로깅에 대해 지정된 구성에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetReusableDelegationSet | 위임 세트에 할당된 4개의 이름 서버를 포함하여 지정된 재사용 가능한 위임 세트에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| GetReusableDelegationSetLimit | 지정된 재사용 가능한 위임 세트와 연결할 수 있는 최대 호스팅 영역 수를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetTrafficPolicy | 지정된 트래픽 정책 버전에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetTrafficPolicyInstance | 지정된 트래픽 정책 인스턴스에 대한 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetTrafficPolicyInstanceCount | 현재 AWS 계정과 연결된 트래픽 정책 인스턴스의 수를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| ListCidrBlocks | 지정된 CIDR 모음 내의 CIDR 블록의 목록을 가져오는 권한을 부여합니다. | 목록 | |||
| ListCidrCollections | 현재 AWS 계정과(와) 연결된 CIDR 모음의 목록을 가져오는 권한을 부여합니다. | 목록 | |||
| ListCidrLocations | 지정된 CIDR 모음에 속하는 CIDR 위치의 목록을 가져오는 권한을 부여합니다. | 목록 | |||
| ListGeoLocations | 지리적 위치에 대해 Route 53에서 지원하는 지리적 위치의 목록을 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| ListHealthChecks | 현재 AWS 계정과 연결된 상태 확인의 목록을 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| ListHostedZones | 현재 AWS 계정과 연결된 퍼블릭 및 프라이빗 호스팅 영역의 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListHostedZonesByName | 사전 순서로 호스팅 영역의 목록을 가져올 수 있는 권한을 부여합니다. 호스팅 영역은 레이블을 반대로 하여 이름을 기준으로 정렬됩니다(예: com.example.www). | 목록 | |||
| ListHostedZonesByVPC | 지정된 VPC가 연결된 모든 프라이빗 호스팅 영역의 목록을 가져올 수 있는 권한을 부여합니다. | 목록 |
ec2:DescribeVpcs |
||
| ListQueryLoggingConfigs | 현재 AWS 계정과 연결된 DNS 쿼리 로깅에 대한 구성 또는 지정된 호스팅 영역과 연결된 구성을 나열할 수 있는 권한을 부여합니다. | 목록 | |||
| ListResourceRecordSets | 지정된 호스팅 영역의 레코드를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListReusableDelegationSets | 현재 AWS 계정과 연결된 재사용 가능한 위임 집합을 나열할 수 있는 권한을 부여합니다. | 읽기 | |||
| ListTagsForResource | 하나의 상태 확인 또는 호스팅 영역에 대한 태그를 나열할 수 있는 권한을 부여합니다. | 읽기 | |||
| ListTagsForResources | 최대 10개의 상태 확인 또는 호스팅 영역에 대한 태그를 나열할 수 있는 권한을 부여합니다. | 읽기 | |||
| ListTrafficPolicies | 현재 AWS 계정과 연결된 모든 트래픽 정책의 최신 버전에 대한 정보를 가져올 수 있는 권한을 부여합니다. 정책은 생성된 순서로 나열됩니다. | 목록 | |||
| ListTrafficPolicyInstances | 현재 AWS 계정을 사용하여 생성한 트래픽 정책 인스턴스에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
| ListTrafficPolicyInstancesByHostedZone | 지정된 호스팅 영역에서 생성한 트래픽 정책 인스턴스에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListTrafficPolicyInstancesByPolicy | 지정된 트래픽 정책 버전을 사용하여 생성한 트래픽 정책 인스턴스에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListTrafficPolicyVersions | 지정된 트래픽 정책의 모든 버전에 대한 정보를 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| ListVPCAssociationAuthorizations | 다른 계정에서 생성되었으며 지정된 호스팅 영역과 연결할 수 있는 VPC의 목록을 가져올 수 있는 권한을 부여합니다. | 나열 | |||
| TestDNSAnswer | 지정된 레코드 이름 및 유형의 DNS 쿼리에 대한 응답으로 Route 53에서 반환하는 값을 가져올 수 있는 권한을 부여합니다. | Read | |||
| UpdateHealthCheck | 기존 상태 확인을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateHostedZoneComment | 지정된 호스팅 영역에 대한 설명을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateTrafficPolicyComment | 지정된 트래픽 정책 버전에 대한 설명을 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateTrafficPolicyInstance | 지정된 트래픽 정책 버전의 설정에 따라 생성된 지정된 호스팅 영역의 레코드를 업데이트할 수 있는 권한을 부여합니다. | Write |
Amazon Route 53에서 정의한 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업은 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| cidrcollection |
arn:${Partition}:route53:::cidrcollection/${Id}
|
|
| change |
arn:${Partition}:route53:::change/${Id}
|
|
| delegationset |
arn:${Partition}:route53:::delegationset/${Id}
|
|
| healthcheck |
arn:${Partition}:route53:::healthcheck/${Id}
|
|
| hostedzone |
arn:${Partition}:route53:::hostedzone/${Id}
|
|
| trafficpolicy |
arn:${Partition}:route53:::trafficpolicy/${Id}
|
|
| trafficpolicyinstance |
arn:${Partition}:route53:::trafficpolicyinstance/${Id}
|
|
| queryloggingconfig |
arn:${Partition}:route53:::queryloggingconfig/${Id}
|
|
| vpc |
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
|
Amazon Route 53에 사용되는 조건 키
Amazon Route 53은 IAM 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 사용 가능한 글로벌 조건 키를 참조하세요.
| 조건 키 | 설명 | 유형 |
|---|---|---|
| route53:ChangeResourceRecordSetsActions | ChangeResourceRecordSets 요청에서 변경 작업(CREATE, UPSERT 또는 DELETE)으로 액세스를 필터링합니다. | ArrayOfString |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | ChangeResourceRecordSets 요청에서 정규화된 DNS 레코드 이름으로 액세스를 필터링합니다. | ArrayOfString |
| route53:ChangeResourceRecordSetsRecordTypes | ChangeResourceRecordSets 요청의 DNS 레코드 유형별로 액세스를 필터링합니다. | ArrayOfString |
