Visão geral do gerenciamento de permissões de acesso aos recursos do Amazon Route 53

Cada recurso da AWS pertence a uma conta da AWS, e as permissões para criá-lo ou acessá-lo são regidas por políticas de permissões.

nota

Administrador de conta (ou usuário administrador) é um usuário com privilégios correspondentes. Para obter mais informações sobre administradores, consulte Práticas recomendadas do IAM no Manual do usuário do IAM.

Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações que eles podem executar.

Os usuários precisam de acesso programático se quiserem interagir com a AWS de fora do AWS Management Console. A forma de conceder acesso programático depende do tipo de usuário que está acessando a AWS.

Para conceder acesso programático aos usuários, selecione uma das seguintes opções:

Qual usuário precisa de acesso programático?	Para	Por
Identificação da força de trabalho (Usuários gerenciados no Centro de Identidade do IAM)	Use credenciais temporárias para assinar solicitações programáticas para a AWS CLI, os SDKs da AWS ou as APIs da AWS.	Siga as instruções da interface que deseja utilizar. Para a AWS CLI, consulte Configuração da AWS CLI para usar o AWS IAM Identity Center no AWS Command Line InterfaceGuia do usuário da . Para os SDKs da AWS, ferramentas e APIs da AWS, consulte Autenticação do Centro de Identidade do IAM no Guia de referência de ferramentas e SDKs da AWS.
IAM	Use credenciais temporárias para assinar solicitações programáticas para a AWS CLI, os SDKs da AWS ou as APIs da AWS.	Siga as instruções em Como usar credenciais temporárias com recursos da AWS no Guia do usuário do IAM.
IAM	(Não recomendado) Use credenciais de longo prazo para assinar solicitações programáticas para a AWS CLI, os SDKs da AWS ou as APIs da AWS.	Siga as instruções da interface que deseja utilizar. Para a AWS CLI, consulte Autenticação usando as credenciais de usuário do IAM no Guia do usuário da AWS Command Line Interface. Para as ferramentas e SDKs da AWS, consulte Autenticação usando as credenciais de longo prazo no Guia de referência de ferramentas e SDKs da AWS. Para as APIs da AWS, consulte Gerenciamento de chaves de acesso de usuários do IAM no Guia do usuário do IAM.

ARNs para recursos do Amazon Route 53

O Amazon Route 53 oferece suporte a diversos tipos de recursos para DNS, verificação de integridade e registro de domínio. Em uma política, você pode conceder ou negar acesso aos seguintes recursos usando * para o ARN:

• Verificações de integridade

• Zonas hospedadas

• Conjuntos de delegações reutilizáveis

• Status de um lote de alterações de conjunto de registros de recursos (somente API)

• Políticas de tráfego (fluxo de tráfego)

• Instâncias de política de tráfego (fluxo de tráfego)

Nem todos os recursos do Route 53 oferecem suporte a permissões. Você não pode conceder ou negar acesso aos seguintes recursos:

• Domínios

• Registros individuais

• Tags para domínios

• Tags para verificações de integridade

• Tags para zonas hospedadas

O Route 53 fornece ações de API para trabalhar com cada um desses tipos de recurso. Para obter mais informações, consulte Referência de API do Amazon Route 53. Para visualizar uma lista de ações e ARNs que podem ser especificadas para conceder ou negar permissão para usar cada ação, consulte Permissões da API do Amazon Route 53: referência de ações, recursos e condições.

Informações sobre propriedade de recursos

Uma conta da AWS é proprietária dos recursos criados na conta, independentemente de quem os criou. Mais especificamente, o proprietário do recurso é a conta da AWS da entidade principal (isto é, a conta raiz ou um perfil do IAM) que autentica a solicitação de criação de recursos.

Os seguintes exemplos mostram como isso funciona:

• Se você usar as credenciais da conta raiz da sua conta da AWS para criar uma zona hospedada, sua conta da AWS será a proprietária do recurso.

• Se você criar um usuário na sua conta da AWS e conceder a ele permissões para criar uma zona hospedada, o usuário poderá criar uma zona hospedada. No entanto, a conta da AWS à qual o usuário pertence é proprietária do recurso da zona hospedada.

• Se você criar uma função do IAM na sua conta da AWS com permissões para criar uma zona hospedada, qualquer pessoa que puder assumir a função poderá criar uma zona hospedada. A sua conta da AWS à qual a função pertence é proprietária do recurso da zona hospedada.

Gerenciamento de acesso aos recursos

Uma política de permissões especifica quem tem acesso a quê. Esta seção explica as opções para criar políticas de permissões do Amazon Route 53. Para obter informações gerais sobre a sintaxe e as descrições de política do IAM, consulte a Referência da política do AWS IAM no Guia do usuário do IAM.

As políticas associadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM) e as políticas associadas a um recurso são conhecidas como políticas baseadas em recurso. O Route 53 oferece suporte apenas às políticas baseadas em identidade (políticas do IAM).

Tópicos

• Políticas baseadas em identidade (políticas do IAM)
• Políticas baseadas em recurso

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

• Anexar uma política de permissões a um usuário ou grupo na sua conta: um administrador de conta pode usar uma política de permissões associada a um determinado usuário para conceder permissões para que esse usuário crie recursos do Amazon Route 53.

• Anexar uma política de permissões a uma função (conceder permissões entre contas): você pode conceder permissão para executar ações do Route 53 a um usuário criado por outra conta da AWS. Para fazer isso, anexe uma política de permissões a uma função do IAM e permita que o usuário da outra conta assuma a função. O exemplo a seguir explica como isso funciona para duas contas da AWS, conta A e conta B:

  1. O administrador da conta A cria uma função do IAM e anexa à função uma política de permissões que concede permissões para criar ou acessar recursos de propriedade da conta A.

  2. O administrador da conta A associa uma política de confiança à função. A política de confiança identifica a conta B como a principal que pode assumir a função.

  3. O administrador da conta B pode delegar permissões para assumir a função para usuários ou grupos na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A.

  Para obter mais informações sobre como delegar permissões para usuários em outra conta da AWS, consulte Gerenciamento de acesso no Manual do usuário do IAM.

A política de exemplo a seguir permite que um usuário execute a ação CreateHostedZone para criar uma zona hospedada pública para qualquer conta da AWS:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Para que a política também se aplique a zonas hospedadas privadas, você precisa conceder permissões para usar a ação AssociateVPCWithHostedZone do Route 53 e duas ações do Amazon EC2, DescribeVpcs e DescribeRegion, conforme mostrado no exemplo a seguir:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Para obter mais informações sobre como associar políticas a identidades para o Route 53, consulte Usar políticas baseadas em identidade (políticas do IAM) para o Amazon Route 53. Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Manual do usuário do IAM.

Políticas baseadas em recurso

Outros produtos, como o Amazon S3, também permitem a anexação de políticas de permissões aos recursos. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O Amazon Route 53 não oferece suporte para anexar políticas a recursos. 

Especificar os elementos da política: recursos, ações, efeitos e principais

O Amazon Route 53 inclui ações de API (consulte a Referência de API do Amazon Route 53) que você pode usar em cada recurso do Route 53 (consulte ARNs para recursos do Amazon Route 53). Você pode conceder a um usuário ou a um usuário federado permissões para executar uma ou todas essas ações. Observe que algumas ações de API, como registrar um domínio, exigem permissões para executar mais de uma ação.

Estes são os elementos de política básicos:

• Recurso: use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. Para obter mais informações, consulte ARNs para recursos do Amazon Route 53.

• Ação: você usa palavras-chave de ação para identificar operações de recursos que você deseja permitir ou negar. Por exemplo, dependendo do Effect especificado, a permissão route53:CreateHostedZone permite ou nega a um usuário a capacidade de executar a ação CreateHostedZone do Route 53.

• Efeito: você especifica o efeito, permitir ou negar, quando um usuário tenta executar a ação no recurso especificado. Se você não conceder acesso explícito a uma ação, o acesso será negado implicitamente. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

• Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O Route 53 não é compatível com políticas baseadas em recursos.

Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte Referência da política do AWS IAM no Guia do usuário do IAM.

Para obter uma lista em mostrando todas as operações da API do Route 53 e os recursos aos quais elas se aplicam, consulte Permissões da API do Amazon Route 53: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar quando uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política de acesso, consulte Elementos de política do IAM JSON: condição no Manual do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condição específicas do Route 53. No entanto, existem chaves de condição em toda a AWS que você pode usar conforme necessário. Para obter uma lista completa de chaves de toda a AWS, consulte Chaves disponíveis para condições no Manual do usuário do IAM.