资源记录集权限 - Amazon Route 53

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源记录集权限

资源记录集权限使用身份和访问管理 (IAM) 策略条件来允许您为 Route 53 控制台上的操作或使用 ChangeResourceRecordSetsAPI 设置精细权限。

资源记录集定义为具有相同名称和类型(和类,但对于大多数用途,类始终为 IN 或 internet)的多个资源记录,但它们包含不同的数据。例如,如果您选择地理位置路由,则可以让多条 A 或 AAAA 记录指向同一个域的不同端点。所有这些 A 或 AAAA 记录组合构成资源记录集。有关 DNS 术语的更多信息,请参阅 RFC 7719

凭借 IAM policy 条件、route53:ChangeResourceRecordSetsNormalizedRecordNamesroute53:ChangeResourceRecordSetsRecordTypesroute53:ChangeResourceRecordSetsActions,您可以授予任何其他 AWS 账户中的其他 AWS 用户精细的管理权限。这样便可授予某人以下权限:

  • 单个资源记录集。

  • 特定 DNS 记录类型的所有资源记录集。

  • 名称包含特定字符串的资源记录集。

  • 使用 ChangeResourceRecordSetsAPI 或 Route 53 控制台时,请执行任何或全部CREATE | UPSERT | DELETE 操作。

您还可以创建结合任何 Route 53 策略条件的访问权限。例如,您可以授予某人修改 marketing-example.com 的 A 记录数据的权限,但不允许该用户删除任何记录。

有关资源记录集权限的更多信息,请参阅 使用 IAM policy 条件进行精细访问控制以管理资源记录集

要了解如何验证 AWS 用户身份,请参阅 使用身份进行身份验证;要了解如何控制 Route 53 资源的访问权限,请参阅 访问控制