Ações, recursos e chaves de condição do Amazon Route 53 - Referência de autorização do serviço

Ações, recursos e chaves de condição do Amazon Route 53

O Amazon Route 53 (prefixo do serviço: route53) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo Amazon Route 53

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
ActivateKeySigningKey Concede permissão para ativar uma chave de assinatura de chaves para que ela possa ser usada para assinatura pelo DNSSEC Write

hostedzone*

AssociateVPCWithHostedZone Concede permissão para associar uma Amazon VPC adicional a uma zona hospedada privada Write

hostedzone

ec2:DescribeVpcs

ChangeCidrCollection Concede permissão para criar ou excluir blocos CIDR em uma coleção de CIDR Write

cidrcollection*

ChangeResourceRecordSets Concede permissão para criar, atualizar ou excluir um registro que contém informações do DNS autoritativo para um nome de domínio ou de subdomínio especificado Write

hostedzone*

ChangeTagsForResource Concede permissão para adicionar, editar ou excluir etiquetas de uma verificação de integridade ou de uma zona hospedada Marcação

healthcheck*

hostedzone*

CreateCidrCollection Concede permissão para criar uma nova coleção de CIDR Write
CreateHealthCheck Concede permissão para criar uma nova verificação de integridade que monitora a integridade e a performance das suas aplicações Web, servidores Web e outros recursos Write
CreateHostedZone Concede permissão para criar uma zona hospedada pública que você usa para especificar como o Domain Name System (DNS) roteia o tráfego na Internet para um domínio, como example.com, e seus subdomínios Write

ec2:DescribeVpcs

CreateKeySigningKey Concede permissão para criar uma nova chave de assinatura de chaves associada a uma zona hospedada Write

hostedzone*

CreateQueryLoggingConfig Concede permissão para criar uma configuração para o log de consultas DNS Write

hostedzone*

CreateReusableDelegationSet Concede permissão para criar um conjunto de delegações (um grupo de quatro servidores de nome) que podem ser reutilizadas por várias zonas hospedadas Write
CreateTrafficPolicy Concede permissão para criar uma política de tráfego que você usa para criar vários registros DNS para um nome de domínio (como example.com) ou um nome de subdomínio (como www.example.com) Write
CreateTrafficPolicyInstance Concede permissão para criar registros em uma zona hospedada especificada com base nas configurações em uma versão de política de tráfego especificada Write

hostedzone*

trafficpolicy*

CreateTrafficPolicyVersion Concede permissão para criar uma nova versão de uma política de tráfego existente Write

trafficpolicy*

CreateVPCAssociationAuthorization Concede permissão para autorizar a Conta da AWS que criou uma VPC especificada para enviar uma solicitação AssociateVPCWithHostedZone que associa a VPC a uma zona hospedada especificada criada por outra conta Write

hostedzone*

DeactivateKeySigningKey Concede permissão para desativar uma chave de assinatura de chave para que ela não seja usada para assinatura pelo DNSSEC Write

hostedzone*

DeleteCidrCollection Concede permissão para excluir uma coleção de CIDR Write

cidrcollection*

DeleteHealthCheck Concede permissão para excluir uma verificação de integridade Write

healthcheck*

DeleteHostedZone Concede permissão para excluir uma zona hospedada Write

hostedzone*

DeleteKeySigningKey Concede permissão para excluir uma chave de assinatura de chaves Write

hostedzone*

DeleteQueryLoggingConfig Concede permissão para excluir uma configuração do log de consultas DNS Write

queryloggingconfig*

DeleteReusableDelegationSet Concede permissão para excluir um conjunto de delegações reutilizáveis Write

delegationset*

DeleteTrafficPolicy Concede permissão para excluir uma política de tráfego Write

trafficpolicy*

DeleteTrafficPolicyInstance Concede permissão para excluir uma instância de política de tráfego e todos os registros que o Route 53 criou quando você criou a instância Write

trafficpolicyinstance*

DeleteVPCAssociationAuthorization Concede permissão para remover a autorização para a associação de uma Amazon Virtual Private Cloud com uma zona hospedada privada do Route 53 Write

hostedzone*

DisableHostedZoneDNSSEC Concede permissão para desativar a assinatura DNSSEC em uma zona hospedada específica Write

hostedzone*

DisassociateVPCFromHostedZone Concede permissão para desassociar Amazon Virtual Private Cloud de uma zona hospedada privada do Route 53 Write

hostedzone

ec2:DescribeVpcs

EnableHostedZoneDNSSEC Concede permissão para habilitar a assinatura DNSSEC em uma zona hospedada específica Write

hostedzone*

GetAccountLimit Concede permissão para obter o limite especificado para a conta atual, por exemplo, o número máximo de verificações de integridade que você pode criar usando a conta Read
GetChange Concede permissão para obter o status atual de uma solicitação para criar, atualizar ou excluir um ou mais registros List

change*

GetCheckerIpRanges Concede permissão para obter uma lista dos intervalos IP usados pelos verificadores de integridade do Route 53 para verificar a integridade de seus recursos List
GetDNSSEC Concede permissão para obter informações sobre o DNSSEC para uma zona hospedada específica, incluindo as chaves de assinatura de chaves na zona hospedada Read

hostedzone*

GetGeoLocation Concede permissão para obter informações sobre se uma geolocalização especificada é suportada para registros de geolocalização do Route 53 List
GetHealthCheck Concede permissão para obter informações sobre uma verificação de integridade especificada Read

healthcheck*

GetHealthCheckCount Concede permissão para obter o número de verificações de integridade associadas à Conta da AWS atual List
GetHealthCheckLastFailureReason Concede permissão para obter o motivo da falha mais recente de uma verificação de integridade especificada List

healthcheck*

GetHealthCheckStatus Concede permissão para obter o status de uma verificação de integridade especificada List

healthcheck*

GetHostedZone Concede permissão para obter informações sobre uma zona hospedada especificada incluindo os quatro servidores de nome que o Route 53 atribuiu à zona hospedada List

hostedzone*

GetHostedZoneCount Concede permissão para obter o número de zonas hospedadas associadas à Conta da AWS atual List
GetHostedZoneLimit Concede permissão para obter o limite especificado de uma zona hospedada especificada Read

hostedzone*

GetQueryLoggingConfig Concede permissão para obter informações sobre a configuração especificada do log de consultas DNS Read

queryloggingconfig*

GetReusableDelegationSet Concede permissão para obter informações sobre um conjunto de delegações reutilizáveis especificado incluindo os quatro servidores atribuídos ao conjunto de delegações List

delegationset*

GetReusableDelegationSetLimit Concede permissão para obter o número máximo de zonas hospedadas que você pode associar ao conjunto de delegações reutilizáveis especificado Read

delegationset*

GetTrafficPolicy Concede permissão para obter informações sobre uma versão de política de tráfego especificada Read

trafficpolicy*

GetTrafficPolicyInstance Concede permissão para obter informações sobre uma instância de política de tráfego especificada Read

trafficpolicyinstance*

GetTrafficPolicyInstanceCount Concede permissão para obter o número de instâncias de política de tráfego associadas à Conta da AWS atual Read
ListCidrBlocks Concede permissão para obter uma lista dos blocos CIDR em uma coleção de CIDR especificada List

cidrcollection*

ListCidrCollections Concede permissão para obter uma lista das coleções de CIDR associadas à Conta da AWS atual List
ListCidrLocations Concede permissão para obter uma lista dos locais de CIDR que pertencem a uma coleção de CIDR especificada List

cidrcollection*

ListGeoLocations Concede permissão para obter uma lista de localizações geográficas para as quais o Route 53 oferece suporte para geolocalização Read
ListHealthChecks Concede permissão para obter uma lista das verificações de integridade associadas à Conta da AWS atual Read
ListHostedZones Concede permissão para obter uma lista de zonas hospedadas públicas e privadas associadas à Conta da AWS atual List
ListHostedZonesByName Concede permissão para obter uma lista de suas zonas hospedadas em ordem lexicográfica. As zonas hospedadas são classificadas por nome com os rótulos invertidos, por exemplo, com.example.www List
ListHostedZonesByVPC Concede permissão para obter uma lista de todas as zonas hospedadas privadas às quais uma VPC especificada está associada List

ec2:DescribeVpcs

ListQueryLoggingConfigs Concede permissão para listar as configurações do log de consultas de DNS associadas à Conta da AWS atual ou à configuração associada a uma zona hospedada especificada List

hostedzone

ListResourceRecordSets Concede permissão para listar os registros em uma zona hospedada especificada List

hostedzone*

ListReusableDelegationSets Concede permissão para listar os conjuntos de delegações reutilizáveis associados à Conta da AWS atual. Read
ListTagsForResource Concede permissão para listar as etiquetas de uma verificação de integridade ou zona hospedada Read

healthcheck

hostedzone

ListTagsForResources Concede permissão para listar etiquetas de até 10 verificações de integridade ou de zonas hospedadas Read

healthcheck

hostedzone

ListTrafficPolicies Concede permissão para obter informações sobre a versão mais recente de cada política de tráfego associada à Conta da AWS atual. As políticas são listadas na ordem em que foram criadas List
ListTrafficPolicyInstances Concede permissão para obter informações sobre as instâncias de política de tráfego que você criou usando a Conta da AWS atual Read
ListTrafficPolicyInstancesByHostedZone Concede permissão para obter informações sobre as instâncias de política de tráfego que você criou em uma zona hospedada especificada List

hostedzone*

ListTrafficPolicyInstancesByPolicy Concede permissão para obter informações sobre as instâncias de política de tráfego que você criou usando uma versão da política de tráfego especificada List

trafficpolicy*

ListTrafficPolicyVersions Concede permissão para obter informações sobre todas as versões de uma política de tráfego especificada List

trafficpolicy*

ListVPCAssociationAuthorizations Concede permissão para obter uma lista das VPCs que foram criadas por outras contas e que podem estar associadas a uma zona hospedada especificada List

hostedzone*

TestDNSAnswer Concede permissão para obter o valor que o Route 53 retorna em resposta a uma consulta DNS de um nome e tipo de registro especificados Read
UpdateHealthCheck Concede permissão para atualizar uma verificação de integridade existente Write

healthcheck*

UpdateHostedZoneComment Concede permissão para atualizar os comentários de uma zona hospedada especificada Write

hostedzone*

UpdateTrafficPolicyComment Concede permissão para atualizar os comentários de uma versão de política de tráfego especificada Write

trafficpolicy*

UpdateTrafficPolicyInstance Concede permissão para atualizar registros em uma zona hospedada especificada que foi criada com base nas configurações em uma versão de política de tráfego especificada Write

trafficpolicyinstance*

Tipos de recursos definidos pelo Amazon Route 53

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
cidrcollection arn:${Partition}:route53:::cidrcollection/${Id}
change arn:${Partition}:route53:::change/${Id}
delegationset arn:${Partition}:route53:::delegationset/${Id}
healthcheck arn:${Partition}:route53:::healthcheck/${Id}
hostedzone arn:${Partition}:route53:::hostedzone/${Id}
trafficpolicy arn:${Partition}:route53:::trafficpolicy/${Id}
trafficpolicyinstance arn:${Partition}:route53:::trafficpolicyinstance/${Id}
queryloggingconfig arn:${Partition}:route53:::queryloggingconfig/${Id}
vpc arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}

Chaves de condição do Amazon Route 53

O Route 53 não tem chaves de contexto específicas ao serviço que podem ser usadas no elemento Condition das declarações de política. Para obter a lista das chaves de contexto globais disponíveis para todos os serviços, consulte Chaves disponíveis para condições.