Ações, recursos e chaves de condição do Amazon Route 53 - Referência de autorização do serviço

Ações, recursos e chaves de condição do Amazon Route 53

O Amazon Route 53 (prefixo do serviço: route53) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo Amazon Route 53

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
ActivateKeySigningKey Concede permissão para ativar uma chave de assinatura de chaves para que ela possa ser usada para assinatura pelo DNSSEC Write

hostedzone*

AssociateVPCWithHostedZone Concede permissão para associar uma Amazon VPC adicional a uma zona hospedada privada Gravação

hostedzone

ec2:DescribeVpcs

ChangeCidrCollection Concede permissão para criar ou excluir blocos CIDR em uma coleção de CIDR Gravação

cidrcollection*

ChangeResourceRecordSets Concede permissão para criar, atualizar ou excluir um registro que contém informações do DNS autoritativo para um nome de domínio ou de subdomínio especificado Write

hostedzone*

route53:ChangeResourceRecordSetsNormalizedRecordNames

route53:ChangeResourceRecordSetsRecordTypes

route53:ChangeResourceRecordSetsActions

ChangeTagsForResource Concede permissão para adicionar, editar ou excluir etiquetas de uma verificação de integridade ou de uma zona hospedada Marcação

healthcheck*

hostedzone*

CreateCidrCollection Concede permissão para criar uma nova coleção de CIDR Gravação
CreateHealthCheck Concede permissão para criar uma nova verificação de integridade que monitora a integridade e a performance das suas aplicações Web, servidores Web e outros recursos Write
CreateHostedZone Concede permissão para criar uma zona hospedada pública que você usa para especificar como o Domain Name System (DNS) roteia o tráfego na Internet para um domínio, como example.com, e seus subdomínios Write

ec2:DescribeVpcs

CreateKeySigningKey Concede permissão para criar uma nova chave de assinatura de chaves associada a uma zona hospedada Write

hostedzone*

CreateQueryLoggingConfig Concede permissão para criar uma configuração para o log de consultas DNS Write

hostedzone*

CreateReusableDelegationSet Concede permissão para criar um conjunto de delegações (um grupo de quatro servidores de nome) que podem ser reutilizadas por várias zonas hospedadas Write
CreateTrafficPolicy Concede permissão para criar uma política de tráfego que você usa para criar vários registros DNS para um nome de domínio (como example.com) ou um nome de subdomínio (como www.example.com) Write
CreateTrafficPolicyInstance Concede permissão para criar registros em uma zona hospedada especificada com base nas configurações em uma versão de política de tráfego especificada Write

hostedzone*

trafficpolicy*

CreateTrafficPolicyVersion Concede permissão para criar uma nova versão de uma política de tráfego existente Write

trafficpolicy*

CreateVPCAssociationAuthorization Concede permissão para autorizar a Conta da AWS que criou uma VPC especificada para enviar uma solicitação AssociateVPCWithHostedZone que associa a VPC a uma zona hospedada especificada criada por outra conta Write

hostedzone*

DeactivateKeySigningKey Concede permissão para desativar uma chave de assinatura de chave para que ela não seja usada para assinatura pelo DNSSEC Gravação

hostedzone*

DeleteCidrCollection Concede permissão para excluir uma coleção de CIDR Gravação

cidrcollection*

DeleteHealthCheck Concede permissão para excluir uma verificação de integridade Write

healthcheck*

DeleteHostedZone Concede permissão para excluir uma zona hospedada Write

hostedzone*

DeleteKeySigningKey Concede permissão para excluir uma chave de assinatura de chaves Write

hostedzone*

DeleteQueryLoggingConfig Concede permissão para excluir uma configuração do log de consultas DNS Write

queryloggingconfig*

DeleteReusableDelegationSet Concede permissão para excluir um conjunto de delegações reutilizáveis Write

delegationset*

DeleteTrafficPolicy Concede permissão para excluir uma política de tráfego Write

trafficpolicy*

DeleteTrafficPolicyInstance Concede permissão para excluir uma instância de política de tráfego e todos os registros que o Route 53 criou quando você criou a instância Write

trafficpolicyinstance*

DeleteVPCAssociationAuthorization Concede permissão para remover a autorização para a associação de uma Amazon Virtual Private Cloud com uma zona hospedada privada do Route 53 Write

hostedzone*

DisableHostedZoneDNSSEC Concede permissão para desativar a assinatura DNSSEC em uma zona hospedada específica Write

hostedzone*

DisassociateVPCFromHostedZone Concede permissão para desassociar Amazon Virtual Private Cloud de uma zona hospedada privada do Route 53 Write

hostedzone

ec2:DescribeVpcs

EnableHostedZoneDNSSEC Concede permissão para habilitar a assinatura DNSSEC em uma zona hospedada específica Write

hostedzone*

GetAccountLimit Concede permissão para obter o limite especificado para a conta atual, por exemplo, o número máximo de verificações de integridade que você pode criar usando a conta Read
GetChange Concede permissão para obter o status atual de uma solicitação para criar, atualizar ou excluir um ou mais registros List

change*

GetCheckerIpRanges Concede permissão para obter uma lista dos intervalos IP usados pelos verificadores de integridade do Route 53 para verificar a integridade de seus recursos List
GetDNSSEC Concede permissão para obter informações sobre o DNSSEC para uma zona hospedada específica, incluindo as chaves de assinatura de chaves na zona hospedada Read

hostedzone*

GetGeoLocation Concede permissão para obter informações sobre se uma geolocalização especificada é suportada para registros de geolocalização do Route 53 List
GetHealthCheck Concede permissão para obter informações sobre uma verificação de integridade especificada Read

healthcheck*

GetHealthCheckCount Concede permissão para obter o número de verificações de integridade associadas à Conta da AWS atual List
GetHealthCheckLastFailureReason Concede permissão para obter o motivo da falha mais recente de uma verificação de integridade especificada List

healthcheck*

GetHealthCheckStatus Concede permissão para obter o status de uma verificação de integridade especificada List

healthcheck*

GetHostedZone Concede permissão para obter informações sobre uma zona hospedada especificada incluindo os quatro servidores de nome que o Route 53 atribuiu à zona hospedada List

hostedzone*

GetHostedZoneCount Concede permissão para obter o número de zonas hospedadas associadas à Conta da AWS atual List
GetHostedZoneLimit Concede permissão para obter o limite especificado de uma zona hospedada especificada Read

hostedzone*

GetQueryLoggingConfig Concede permissão para obter informações sobre a configuração especificada do log de consultas DNS Read

queryloggingconfig*

GetReusableDelegationSet Concede permissão para obter informações sobre um conjunto de delegações reutilizáveis especificado incluindo os quatro servidores atribuídos ao conjunto de delegações List

delegationset*

GetReusableDelegationSetLimit Concede permissão para obter o número máximo de zonas hospedadas que você pode associar ao conjunto de delegações reutilizáveis especificado Read

delegationset*

GetTrafficPolicy Concede permissão para obter informações sobre uma versão de política de tráfego especificada Read

trafficpolicy*

GetTrafficPolicyInstance Concede permissão para obter informações sobre uma instância de política de tráfego especificada Read

trafficpolicyinstance*

GetTrafficPolicyInstanceCount Concede permissão para obter o número de instâncias de política de tráfego associadas à Conta da AWS atual Leitura
ListCidrBlocks Concede permissão para obter uma lista dos blocos CIDR em uma coleção de CIDR especificada Listar

cidrcollection*

ListCidrCollections Concede permissão para obter uma lista das coleções de CIDR associadas à Conta da AWS atual Listar
ListCidrLocations Concede permissão para obter uma lista dos locais de CIDR que pertencem a uma coleção de CIDR especificada Listar

cidrcollection*

ListGeoLocations Concede permissão para obter uma lista de localizações geográficas para as quais o Route 53 oferece suporte para geolocalização Leitura
ListHealthChecks Concede permissão para obter uma lista das verificações de integridade associadas à Conta da AWS atual Leitura
ListHostedZones Concede permissão para obter uma lista de zonas hospedadas públicas e privadas associadas à Conta da AWS atual List
ListHostedZonesByName Concede permissão para obter uma lista de suas zonas hospedadas em ordem lexicográfica. As zonas hospedadas são classificadas por nome com os rótulos invertidos, por exemplo, com.example.www Listar
ListHostedZonesByVPC Concede permissão para obter uma lista de todas as zonas hospedadas privadas às quais uma VPC especificada está associada Listar

ec2:DescribeVpcs

ListQueryLoggingConfigs Concede permissão para listar as configurações do log de consultas de DNS associadas à Conta da AWS atual ou à configuração associada a uma zona hospedada especificada Listar

hostedzone

ListResourceRecordSets Concede permissão para listar os registros em uma zona hospedada especificada List

hostedzone*

ListReusableDelegationSets Concede permissão para listar os conjuntos de delegações reutilizáveis associados à Conta da AWS atual. Leitura
ListTagsForResource Concede permissão para listar as etiquetas de uma verificação de integridade ou zona hospedada Leitura

healthcheck

hostedzone

ListTagsForResources Concede permissão para listar etiquetas de até 10 verificações de integridade ou de zonas hospedadas Leitura

healthcheck

hostedzone

ListTrafficPolicies Concede permissão para obter informações sobre a versão mais recente de cada política de tráfego associada à Conta da AWS atual. As políticas são listadas na ordem em que foram criadas Listar
ListTrafficPolicyInstances Concede permissão para obter informações sobre as instâncias de política de tráfego que você criou usando a Conta da AWS atual Leitura
ListTrafficPolicyInstancesByHostedZone Concede permissão para obter informações sobre as instâncias de política de tráfego que você criou em uma zona hospedada especificada List

hostedzone*

ListTrafficPolicyInstancesByPolicy Concede permissão para obter informações sobre as instâncias de política de tráfego que você criou usando uma versão da política de tráfego especificada List

trafficpolicy*

ListTrafficPolicyVersions Concede permissão para obter informações sobre todas as versões de uma política de tráfego especificada List

trafficpolicy*

ListVPCAssociationAuthorizations Concede permissão para obter uma lista das VPCs que foram criadas por outras contas e que podem estar associadas a uma zona hospedada especificada List

hostedzone*

TestDNSAnswer Concede permissão para obter o valor que o Route 53 retorna em resposta a uma consulta DNS de um nome e tipo de registro especificados Read
UpdateHealthCheck Concede permissão para atualizar uma verificação de integridade existente Write

healthcheck*

UpdateHostedZoneComment Concede permissão para atualizar os comentários de uma zona hospedada especificada Write

hostedzone*

UpdateTrafficPolicyComment Concede permissão para atualizar os comentários de uma versão de política de tráfego especificada Write

trafficpolicy*

UpdateTrafficPolicyInstance Concede permissão para atualizar registros em uma zona hospedada especificada que foi criada com base nas configurações em uma versão de política de tráfego especificada Write

trafficpolicyinstance*

Tipos de recursos definidos pelo Amazon Route 53

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
cidrcollection arn:${Partition}:route53:::cidrcollection/${Id}
change arn:${Partition}:route53:::change/${Id}
delegationset arn:${Partition}:route53:::delegationset/${Id}
healthcheck arn:${Partition}:route53:::healthcheck/${Id}
hostedzone arn:${Partition}:route53:::hostedzone/${Id}
trafficpolicy arn:${Partition}:route53:::trafficpolicy/${Id}
trafficpolicyinstance arn:${Partition}:route53:::trafficpolicyinstance/${Id}
queryloggingconfig arn:${Partition}:route53:::queryloggingconfig/${Id}
vpc arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}

Chaves de condição do Amazon Route 53

O Amazon Route 53 define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Tipo
route53:ChangeResourceRecordSetsActions Filtra o acesso pelas ações de alteração, CREATE, UPSERT ou DELETE em uma solicitação ChangeResourceRecordSets ArrayOfString
route53:ChangeResourceRecordSetsNormalizedRecordNames Filtra o acesso pelos nomes de registro DNS normalizados em uma solicitação ChangeResourceRecordSets ArrayOfString
route53:ChangeResourceRecordSetsRecordTypes Filtra o acesso pelos tipos de registro DNS em uma solicitação ChangeResourceRecordSets ArrayOfString