As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do Amazon Route 53
O Amazon Route 53 (prefixo do serviço: route53
) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo Amazon Route 53
Você pode especificar as seguintes ações no elemento Action
de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource
de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource
em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition
da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
---|---|---|---|---|---|
ActivateKeySigningKey | Concede permissão para ativar uma chave de assinatura de chaves para que ela possa ser usada para assinatura pelo DNSSEC | Write | |||
AssociateVPCWithHostedZone | Concede permissão para associar uma Amazon VPC adicional a uma zona hospedada privada | Escrever |
ec2:DescribeVpcs |
||
ChangeCidrCollection | Concede permissão para criar ou excluir blocos CIDR em uma coleção de CIDR | Escrever | |||
ChangeResourceRecordSets | Concede permissão para criar, atualizar ou excluir um registro que contém informações do DNS autoritativo para um nome de domínio ou de subdomínio especificado | Write | |||
route53:ChangeResourceRecordSetsNormalizedRecordNames |
|||||
ChangeTagsForResource | Concede permissão para adicionar, editar ou excluir etiquetas de uma verificação de integridade ou de uma zona hospedada | Tags | |||
CreateCidrCollection | Concede permissão para criar uma nova coleção de CIDR | Escrever | |||
CreateHealthCheck | Concede permissão para criar uma nova verificação de integridade que monitora a integridade e a performance das suas aplicações Web, servidores Web e outros recursos | Write | |||
CreateHostedZone | Concede permissão para criar uma zona hospedada pública que você usa para especificar como o Domain Name System (DNS) roteia o tráfego na Internet para um domínio, como example.com, e seus subdomínios | Write |
ec2:DescribeVpcs |
||
CreateKeySigningKey | Concede permissão para criar uma nova chave de assinatura de chaves associada a uma zona hospedada | Write | |||
CreateQueryLoggingConfig | Concede permissão para criar uma configuração para o log de consultas DNS | Write | |||
CreateReusableDelegationSet | Concede permissão para criar um conjunto de delegações (um grupo de quatro servidores de nome) que podem ser reutilizadas por várias zonas hospedadas | Write | |||
CreateTrafficPolicy | Concede permissão para criar uma política de tráfego que você usa para criar vários registros DNS para um nome de domínio (como example.com) ou um nome de subdomínio (como www.example.com) | Write | |||
CreateTrafficPolicyInstance | Concede permissão para criar registros em uma zona hospedada especificada com base nas configurações em uma versão de política de tráfego especificada | Write | |||
CreateTrafficPolicyVersion | Concede permissão para criar uma nova versão de uma política de tráfego existente | Escrever | |||
CreateVPCAssociationAuthorization | Concede permissão para autorizar a pessoa Conta da AWS que criou uma VPC específica a enviar uma solicitação de WithHostedZone AssociateVPC, que associa a VPC a uma zona hospedada especificada que foi criada por uma conta diferente | Escrever | |||
DeactivateKeySigningKey | Concede permissão para desativar uma chave de assinatura de chave para que ela não seja usada para assinatura pelo DNSSEC | Escrever | |||
DeleteCidrCollection | Concede permissão para excluir uma coleção de CIDR | Escrever | |||
DeleteHealthCheck | Concede permissão para excluir uma verificação de integridade | Write | |||
DeleteHostedZone | Concede permissão para excluir uma zona hospedada | Write | |||
DeleteKeySigningKey | Concede permissão para excluir uma chave de assinatura de chaves | Write | |||
DeleteQueryLoggingConfig | Concede permissão para excluir uma configuração do log de consultas DNS | Write | |||
DeleteReusableDelegationSet | Concede permissão para excluir um conjunto de delegações reutilizáveis | Write | |||
DeleteTrafficPolicy | Concede permissão para excluir uma política de tráfego | Write | |||
DeleteTrafficPolicyInstance | Concede permissão para excluir uma instância de política de tráfego e todos os registros que o Route 53 criou quando você criou a instância | Write | |||
DeleteVPCAssociationAuthorization | Concede permissão para remover a autorização para a associação de uma Amazon Virtual Private Cloud com uma zona hospedada privada do Route 53 | Write | |||
DisableHostedZoneDNSSEC | Concede permissão para desativar a assinatura DNSSEC em uma zona hospedada específica | Write | |||
DisassociateVPCFromHostedZone | Concede permissão para desassociar Amazon Virtual Private Cloud de uma zona hospedada privada do Route 53 | Write |
ec2:DescribeVpcs |
||
EnableHostedZoneDNSSEC | Concede permissão para habilitar a assinatura DNSSEC em uma zona hospedada específica | Write | |||
GetAccountLimit | Concede permissão para obter o limite especificado para a conta atual, por exemplo, o número máximo de verificações de integridade que você pode criar usando a conta | Read | |||
GetChange | Concede permissão para obter o status atual de uma solicitação para criar, atualizar ou excluir um ou mais registros | List | |||
GetCheckerIpRanges | Concede permissão para obter uma lista dos intervalos IP usados pelos verificadores de integridade do Route 53 para verificar a integridade de seus recursos | List | |||
GetDNSSEC | Concede permissão para obter informações sobre o DNSSEC para uma zona hospedada específica, incluindo as chaves de assinatura de chaves na zona hospedada | Read | |||
GetGeoLocation | Concede permissão para obter informações sobre se uma geolocalização especificada é suportada para registros de geolocalização do Route 53 | List | |||
GetHealthCheck | Concede permissão para obter informações sobre uma verificação de integridade especificada | Leitura | |||
GetHealthCheckCount | Concede permissão para obter o número de verificações de saúde associadas à atual Conta da AWS | Lista | |||
GetHealthCheckLastFailureReason | Concede permissão para obter o motivo da falha mais recente de uma verificação de integridade especificada | List | |||
GetHealthCheckStatus | Concede permissão para obter o status de uma verificação de integridade especificada | List | |||
GetHostedZone | Concede permissão para obter informações sobre uma zona hospedada especificada incluindo os quatro servidores de nome que o Route 53 atribuiu à zona hospedada | Lista | |||
GetHostedZoneCount | Concede permissão para obter o número de zonas hospedadas associadas à atual Conta da AWS | Lista | |||
GetHostedZoneLimit | Concede permissão para obter o limite especificado de uma zona hospedada especificada | Read | |||
GetQueryLoggingConfig | Concede permissão para obter informações sobre a configuração especificada do log de consultas DNS | Read | |||
GetReusableDelegationSet | Concede permissão para obter informações sobre um conjunto de delegações reutilizáveis especificado incluindo os quatro servidores atribuídos ao conjunto de delegações | List | |||
GetReusableDelegationSetLimit | Concede permissão para obter o número máximo de zonas hospedadas que você pode associar ao conjunto de delegações reutilizáveis especificado | Read | |||
GetTrafficPolicy | Concede permissão para obter informações sobre uma versão de política de tráfego especificada | Read | |||
GetTrafficPolicyInstance | Concede permissão para obter informações sobre uma instância de política de tráfego especificada | Leitura | |||
GetTrafficPolicyInstanceCount | Concede permissão para obter o número de instâncias da política de tráfego associadas à atual Conta da AWS | Leitura | |||
ListCidrBlocks | Concede permissão para obter uma lista dos blocos CIDR em uma coleção de CIDR especificada | Lista | |||
ListCidrCollections | Concede permissão para obter uma lista das coleções CIDR associadas à atual Conta da AWS | Lista | |||
ListCidrLocations | Concede permissão para obter uma lista dos locais de CIDR que pertencem a uma coleção de CIDR especificada | Lista | |||
ListGeoLocations | Concede permissão para obter uma lista de localizações geográficas para as quais o Route 53 oferece suporte para geolocalização | Leitura | |||
ListHealthChecks | Concede permissão para obter uma lista das verificações de saúde associadas à atual Conta da AWS | Leitura | |||
ListHostedZones | Concede permissão para obter uma lista das zonas hospedadas públicas e privadas associadas à atual Conta da AWS | Lista | |||
ListHostedZonesByName | Concede permissão para obter uma lista de suas zonas hospedadas em ordem lexicográfica. As zonas hospedadas são classificadas por nome com os rótulos invertidos, por exemplo, com.example.www | Lista | |||
ListHostedZonesByVPC | Concede permissão para obter uma lista de todas as zonas hospedadas privadas às quais uma VPC especificada está associada | Lista |
ec2:DescribeVpcs |
||
ListQueryLoggingConfigs | Concede permissão para listar as configurações do registro de consultas DNS associadas à atual Conta da AWS ou à configuração associada a uma zona hospedada especificada | Lista | |||
ListResourceRecordSets | Concede permissão para listar os registros em uma zona hospedada especificada | Lista | |||
ListReusableDelegationSets | Concede permissão para listar os conjuntos de delegações reutilizáveis associados à Conta da AWS atual. | Leitura | |||
ListTagsForResource | Concede permissão para listar as etiquetas de uma verificação de integridade ou zona hospedada | Leitura | |||
ListTagsForResources | Concede permissão para listar etiquetas de até 10 verificações de integridade ou de zonas hospedadas | Leitura | |||
ListTrafficPolicies | Concede permissão para obter informações sobre a versão mais recente de cada política de tráfego associada à Conta da AWS atual. As políticas são listadas na ordem em que foram criadas | Lista | |||
ListTrafficPolicyInstances | Concede permissão para obter informações sobre as instâncias da política de tráfego que você criou usando o atual Conta da AWS | Leitura | |||
ListTrafficPolicyInstancesByHostedZone | Concede permissão para obter informações sobre as instâncias de política de tráfego que você criou em uma zona hospedada especificada | List | |||
ListTrafficPolicyInstancesByPolicy | Concede permissão para obter informações sobre as instâncias de política de tráfego que você criou usando uma versão da política de tráfego especificada | List | |||
ListTrafficPolicyVersions | Concede permissão para obter informações sobre todas as versões de uma política de tráfego especificada | List | |||
ListVPCAssociationAuthorizations | Concede permissão para obter uma lista das VPCs que foram criadas por outras contas e que podem estar associadas a uma zona hospedada especificada | List | |||
TestDNSAnswer | Concede permissão para obter o valor que o Route 53 retorna em resposta a uma consulta DNS de um nome e tipo de registro especificados | Read | |||
UpdateHealthCheck | Concede permissão para atualizar uma verificação de integridade existente | Write | |||
UpdateHostedZoneComment | Concede permissão para atualizar os comentários de uma zona hospedada especificada | Write | |||
UpdateTrafficPolicyComment | Concede permissão para atualizar os comentários de uma versão de política de tráfego especificada | Write | |||
UpdateTrafficPolicyInstance | Concede permissão para atualizar registros em uma zona hospedada especificada que foi criada com base nas configurações em uma versão de política de tráfego especificada | Write |
Tipos de recursos definidos pelo Amazon Route 53
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource
de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
Tipos de recursos | ARN | Chaves de condição |
---|---|---|
cidrcollection |
arn:${Partition}:route53:::cidrcollection/${Id}
|
|
change |
arn:${Partition}:route53:::change/${Id}
|
|
delegationset |
arn:${Partition}:route53:::delegationset/${Id}
|
|
healthcheck |
arn:${Partition}:route53:::healthcheck/${Id}
|
|
hostedzone |
arn:${Partition}:route53:::hostedzone/${Id}
|
|
trafficpolicy |
arn:${Partition}:route53:::trafficpolicy/${Id}
|
|
trafficpolicyinstance |
arn:${Partition}:route53:::trafficpolicyinstance/${Id}
|
|
queryloggingconfig |
arn:${Partition}:route53:::queryloggingconfig/${Id}
|
|
vpc |
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
|
Chaves de condição do Amazon Route 53
O Amazon Route 53 define as seguintes chaves de condição que podem ser usadas no elemento Condition
de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
Chaves de condição | Descrição | Tipo |
---|---|---|
route53:ChangeResourceRecordSetsActions | Filtra o acesso pelas ações de alteração, CREATE, UPSERT ou DELETE, em uma solicitação ChangeResourceRecordSets | ArrayOfString |
route53:ChangeResourceRecordSetsNormalizedRecordNames | Filtra o acesso pelos nomes de registros DNS normalizados em uma solicitação ChangeResourceRecordSets | ArrayOfString |
route53:ChangeResourceRecordSetsRecordTypes | Filtra o acesso pelos tipos de registro DNS em uma solicitação ChangeResourceRecordSets | ArrayOfString |