本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略。
AWS 托管策略: AmazonRoute53 FullAccess
您可以将 AmazonRoute53FullAccess 策略附加到 IAM 身份。
此策略授予对 Route 53 资源的完全访问权限,包括域注册和运行状况检查,但不包括 Resolver。
权限详细信息
该策略包含以下权限。
-
route53:*- 您可以执行除以下操作之外的所有 Route 53 操作:-
创建和更新 Alias Targe t 的值为 CloudFront 分配、Elastic Load Balancing 负载均衡器、Elastic Beanstalk 环境或 Amazon S3 存储桶的别名记录。(通过这些权限,您可以创建其别名目标值为同一托管区域中的另一个记录的别名记录。)
-
使用私有托管区域。
-
使用域。
-
创建、删除和查看 CloudWatch 警报。
-
在 Route 53 控制台中呈现 CloudWatch 指标。
-
-
route53domains:*- 可让您使用域。 -
cloudfront:ListDistributions— 允许您创建和更新以 Alias Targe t 的值为 CloudFront分布的别名记录。如果您未使用 Route 53 控制台,则不需要此权限。Route 53 仅用它来获取要在控制台中显示的分配的列表。
-
elasticloadbalancing:DescribeLoadBalancers- 可让您创建和更新 Alias Target(别名目标)值为 Elastic Load Balancing 负载均衡器的别名记录。如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的负载均衡器的列表。
-
elasticbeanstalk:DescribeEnvironments- 可让您创建和更新 Alias Target(别名目标)值为 Elastic Beanstalk 环境的别名记录。如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的环境的列表。
-
s3:ListBucket、s3:GetBucketLocation和s3:GetBucketWebsite- 可让您创建和更新 Alias Target(别名目标)值为 Amazon S3 存储桶的别名记录。(只有将存储桶配置为网站终端节点时,才可以创建 Amazon S3 存储桶的别名;s3:GetBucketWebsite用于获取所需的配置信息。)如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用这些权限来获取要在控制台中显示的存储桶的列表。
-
ec2:DescribeVpcs— 允许您显示列表 VPCs。 -
ec2:DescribeVpcEndpoints- 可让您显示 VPC 终端节点列表。 -
ec2:DescribeRegions- 可让您显示可用区列表。 -
sns:ListTopics,sns:ListSubscriptionsByTopic,cloudwatch:DescribeAlarms— 允许您创建、删除和查看 CloudWatch 警报。 -
cloudwatch:GetMetricStatistics— 允许您创建 CloudWatch指标运行状况检查。如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的统计数据。
-
apigateway:GET- 可让您创建和更新 Alias Target(别名目标)值为 Amazon API Gateway API 的别名记录。如果您未使用 Route 53 控制台,则不需要此权限。Route 53 仅使用它来获取 APIs 要在控制台中显示的列表。
有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}AWS 托管策略: AmazonRoute53 ReadOnlyAccess
您可以将 AmazonRoute53ReadOnlyAccess 策略附加到 IAM 身份。
此策略授予对 Route 53 资源的只读访问权限,包括域注册和运行状况检查,但不包括 Resolver。
权限详细信息
该策略包含以下权限。
-
route53:Get*- 获取 Route 53 资源。 -
route53:List*– 列出 Route 53 资源。 -
route53:TestDNSAnswer- 获取 Route 53 为响应 DNS 请求而返回的值。
有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}AWS 托管策略: AmazonRoute53 DomainsFullAccess
您可以将 AmazonRoute53DomainsFullAccess 策略附加到 IAM 身份。
此策略授予对 Route 53 域注册资源的完全访问权限。
权限详细信息
该策略包含以下权限。
route53:CreateHostedZone- 可让您创建 Route 53 托管区域。route53domains:*- 可让您注册域名并执行相关操作。
有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}AWS 托管策略: AmazonRoute53 DomainsReadOnlyAccess
您可以将 AmazonRoute53DomainsReadOnlyAccess 策略附加到 IAM 身份。
此策略授予对 Route 53 域注册资源的只读访问权限。
权限详细信息
该策略包含以下权限。
route53domains:Get*- 可让您从 Route 53 中检索域列表。route53domains:List*- 可让您显示 Route 53 域的列表。
有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}AWS 托管策略: AmazonRoute53 ResolverFullAccess
您可以将 AmazonRoute53ResolverFullAccess 策略附加到 IAM 身份。
此策略授予对 Route 53 Resolver 资源的完全访问权限。
权限详细信息
该策略包含以下权限。
route53resolver:*- 可让您在 Route 53 控制台上创建和管理 Resolver 资源。ec2:DescribeSubnets- 可让您列出 Amazon VPC 子网。ec2:CreateNetworkInterface、ec2:DeleteNetworkInterface和ec2:ModifyNetworkInterfaceAttribute- 可让您创建、修改和删除网络接口。ec2:DescribeNetworkInterfaces- 可让您显示网络接口列表。ec2:DescribeSecurityGroups- 可让您显示所有安全组的列表。ec2:DescribeVpcs— 允许您显示列表 VPCs。ec2:DescribeAvailabilityZones- 可让您列出可供您使用的区域。
有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}AWS 托管策略: AmazonRoute53 ResolverReadOnlyAccess
您可以将 AmazonRoute53ResolverReadOnlyAccess 策略附加到 IAM 身份。
此策略授予对 Route 53 Resolver 资源的只读访问权限。
权限详细信息
该策略包含以下权限。
route53resolver:Get*— 获取 Resolver 资源。route53resolver:List*– 可让您显示 Resolver 资源的列表。ec2:DescribeNetworkInterfaces- 可让您显示网络接口列表。ec2:DescribeSecurityGroups- 可让您显示所有安全组的列表。
有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}AWS 托管策略:Route53 ResolverServiceRolePolicy
您不能将 Route53ResolverServiceRolePolicy 附加到自己的 IAM 实体。此策略附加到服务相关角色,允许 Route 53 Resolver 访问 Resolver 使用或管理的 AWS
服务和资源。有关更多信息,请参阅 对 Amazon Route 53 Resolver使用服务相关角色。
AWS 托管策略: AmazonRoute53 ProfilesFullAccess
您可以将 AmazonRoute53ProfilesReadOnlyAccess 策略附加到 IAM 身份。
此策略授予对 Amazon Route 53 配置文件资源的完全访问权限。
权限详细信息
该策略包含以下权限。
-
route53profiles- 可让您在 Route 53 控制台上创建和管理配置文件资源。 -
ec2— 允许校长获取有关 VPCs信息。
有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}AWS 托管策略: AmazonRoute53 ProfilesReadOnlyAccess
您可以将 AmazonRoute53ProfilesReadOnlyAccess 策略附加到 IAM 身份。
此策略授予对 Amazon Route 53 配置文件资源的只读访问权限。
权限详细信息
有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}AWS 托管策略的 Route 53 更新
查看自该服务开始跟踪这些更改以来 Route 53 AWS 托管策略更新的详细信息。有关此页面更改的自动提醒,请订阅 Route 53 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AmazonRoute53 ProfilesFullAccess — 更新了政策 |
添加了 |
2024 年 8 月 27 日 |
|
添加了 |
2024 年 8 月 27 日 | |
|
AmazonRoute53 ResolverFullAccess — 更新了政策 |
添加了语句 ID (Sid),以唯一地标识策略。 |
2024 年 8 月 5 日 |
|
添加了语句 ID (Sid),以唯一地标识策略。 |
2024 年 8 月 5 日 | |
|
Amazon Route 53 添加了一项新策略,允许完全访问 Amazon Route 53 配置文件资源。 |
2024 年 4 月 22 日 | |
|
Amazon Route 53 添加了一项新策略,允许以只读形式访问 Amazon Route 53 配置文件资源。 |
2024 年 4 月 22 日 | |
|
Amazon Route 53 添加了一项附加到服务相关角色的新策略,允许 Route 53 Resolver 访问由解析器使用或管理的 AWS 服务和资源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 添加了一项新策略,允许以只读形式访问 Route 53 Resolver 资源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 添加了一项新策略,允许完全访问 Route 53 Resolver 资源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 添加了一项新策略,允许以只读形式访问 Route 53 域资源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 添加了一项新策略,允许完全访问 Route 53 域资源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 添加了一项新策略,允许以只读形式访问 Route 53 资源。 |
2021 年 7 月 14 日 | |
|
AmazonRoute53 FullAccess — 新政策 |
Amazon Route 53 添加了一项新策略,允许完全访问 Route 53 资源。 |
2021 年 7 月 14 日 |
|
Route 53 已开启跟踪更改 |
Route 53 开始跟踪其 AWS 托管策略的更改。 |
2021 年 7 月 14 日 |
