Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von IAM-Richtlinienbedingungen für die differenzierte Zugriffskontrolle
In Route 53 können Sie Bedingungen angeben, wenn Sie Berechtigungen mithilfe einer IAM-Richtlinie erteilen (siehe Zugriffskontrolle). Beispielsweise ist Folgendes möglich:
-
Erteilen Sie Berechtigungen, um Zugriff auf einen einzelnen Ressourcendatensatz zu gewähren.
-
Gewähren Sie Berechtigungen, um Benutzern Zugriff auf alle Ressourceneintragssätze eines bestimmten DNS-Eintragstyps in einer gehosteten Zone zu gewähren, z. B. A- und AAAA-Datensätze.
-
Gewähren Sie Berechtigungen, um Benutzern den Zugriff auf einen Ressourcendatensatz zu ermöglichen, dessen Name eine bestimmte Zeichenfolge enthält.
-
Gewähren Sie Benutzern Berechtigungen, damit sie nur einen Teil der
CREATE | UPSERT | DELETEAktionen auf der Route 53-Konsole oder bei Verwendung der API ausführen können. ChangeResourceRecordSets -
Gewähren Sie Benutzern Berechtigungen, die es Benutzern ermöglichen, private gehostete Zonen einer bestimmten VPC zuzuordnen oder von ihr zu trennen.
-
Erteilen Sie Berechtigungen, damit Benutzer gehostete Zonen auflisten können, die einer bestimmten VPC zugeordnet sind.
-
Erteilen Sie Berechtigungen, um Benutzern Zugriff auf die Erstellung einer neuen privaten gehosteten Zone und deren Zuordnung zu einer bestimmten VPC zu gewähren.
-
Erteilen Sie Berechtigungen, damit Benutzer eine VPC-Zuordnungsautorisierung erstellen oder löschen können.
-
Gewähren Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, nur bestimmte Ressourcentypen mit einem Route 53-Profil zu verwalten (associate/disassociate/update).
-
Gewähren Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, nur bestimmte Ressourcen ARNs mit einem Route 53-Profil zu verwalten (associate/disassociate/update).
-
Gewähren Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, nur bestimmte Domänen der gehosteten Zone mit einem Route 53-Profil zu verwalten (associate/disassociate/update).
-
Gewähren Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, nur bestimmte Resolver-Regeldomänen mit einem Route 53-Profil zu verwalten (associate/disassociate/update).
-
Gewähren Sie Benutzern Berechtigungen, um Benutzern die Verwaltung (associate/disassociate/update) Firewall-Regelgruppen mit einem bestimmten Prioritätsbereich in einem Route 53-Profil zu ermöglichen.
-
Erteilen Sie Benutzern Berechtigungen, um es Benutzern zu ermöglichen, ein Route 53-Profil mit bestimmten zu verwalten (zuzuordnen/die Zuordnung aufzuheben). VPCs
Sie können auch Berechtigungen erstellen, die eine der detaillierten Berechtigungen kombinieren.
Normalisieren der Schlüsselwerte der Route 53-Bedingung
Die Werte, die Sie für die Richtlinienbedingungen eingeben, müssen wie folgt formatiert oder normalisiert sein:
Für route53:ChangeResourceRecordSetsNormalizedRecordNames:
-
Alle Buchstaben müssen Kleinbuchstaben sein.
-
Der DNS-Name muss ohne den letzten Punkt sein.
-
Andere Zeichen als a–z, 0–9, - (Bindestrich), _ (Unterstrich) und . (Punkt, als Trennzeichen zwischen Kennzeichnungen) müssen Escape-Codes im Format \dreistelliger Oktalcode verwenden. Zum Beispiel ist
\052der Oktalcode für das Zeichen *.
Für route53:ChangeResourceRecordSetsActions kann der Wert einer der folgenden Möglichkeiten sein und muss in Großbuchstaben sein:
-
CREATE
-
UPSERT
-
DELETE
Für route53:ChangeResourceRecordSetsRecordTypes:
-
Der Wert muss in Großbuchstaben geschrieben werden und kann einer der von Route 53 unterstützten DNS-Eintragstypen sein. Weitere Informationen finden Sie unter Unterstützte DNS-Datensatztypen.
Für route53:VPCs:
-
Der Wert muss das Format von
VPCId=<vpc-id>,VPCRegion=<region>haben. -
Der Wert von
<vpc-id>und<region>muss in Kleinbuchstaben angegeben werden, z. B.VPCId=vpc-123abcundVPCRegion=us-east-1. -
Bei den Kontextschlüsseln und Werten wird zwischen Groß- und Kleinschreibung unterschieden.
Wichtig
Damit Ihre Berechtigungen Aktionen wie gewünscht zulassen oder einschränken können, müssen Sie diese Konventionen befolgen. Nur VPCId VPCRegion Elemente werden von diesem Bedingungsschlüssel akzeptiert, andere AWS Ressourcen, wie z. B. AWS-Konto, werden nicht unterstützt.
Bei route53profiles:ResourceTypes dem Wert kann es sich um einen der folgenden Werte handeln, wobei Groß- und Kleinschreibung beachtet wird:
-
HostedZone
-
FirewallRuleGroup
-
ResolverQueryLoggingConfig
-
ResolverRule
-
VPCEndpoint
Für route53profiles:ResourceArns:
-
Der Wert muss ein gültiger AWS Ressourcen-ARN sein, z.
arn:aws:route53:::hostedzone/Z12345B. -
Verwenden Sie den
ArnLikeBedingungsoperatorArnEqualsoder, wenn ARN ARN-Werte vergleichen.
Für route53profiles:HostedZoneDomains:
-
Der Wert muss ein gültiger Domainname sein, z.
example.comB. -
Der Domainname muss ohne den abschließenden Punkt sein.
-
Bei den Werten muss die Groß- und Kleinschreibung beachtet werden.
Für route53profiles:ResolverRuleDomains:
-
Der Wert muss ein gültiger Domainname sein, z. B.
example.com -
Der Domainname muss ohne den abschließenden Punkt sein.
-
Bei den Werten muss die Groß- und Kleinschreibung beachtet werden.
Für route53profiles:FirewallRuleGroupPriority:
-
Der Wert muss ein numerischer Wert sein, der die Priorität der Firewall-Regelgruppe angibt.
-
Verwenden Sie numerische Bedingungsoperatoren wie
NumericEquals,NumericGreaterThanEquals, oder,NumericLessThanEqualsum Prioritätswerte zu vergleichen oder einen Prioritätsbereich zu definieren.
Für route53profiles:ResourceIds:
-
Der Wert muss eine gültige VPC-ID sein, z. B.
vpc-1a2b3c4d5e6f -
Bei den Werten muss die Groß- und Kleinschreibung beachtet werden.
Sie können den Access Analyzer oder Richtliniensimulator im IAM-Benutzerhandbuch nutzen, um zu überprüfen, ob Ihre Richtlinie die Berechtigungen wie erwartet gewährt oder einschränkt. Sie können die Berechtigungen auch überprüfen, indem Sie eine IAM-Richtlinie auf einen Testbenutzer oder eine Testrolle anwenden, um Route 53-Vorgänge auszuführen.
Festlegung von Bedingungen: Verwenden von Bedingungsschlüsseln
AWS stellt einen Satz vordefinierter Bedingungsschlüssel (AWS-weite Bedingungsschlüssel) für alle AWS Dienste bereit, die IAM für die Zugriffskontrolle unterstützen. Sie können beispielsweise den aws:SourceIp-Bedingungsschlüssel verwenden, um die IP-Adresse des Anforderers zu prüfen, bevor eine Aktion durchgeführt werden darf. Weiter Informationen und eine Liste von AWS-weiten Schlüsseln finden Sie unter Verfügbare Schlüssel für Bedingungen im IAM-Benutzerhandbuch.
Anmerkung
Route 53 unterstützt keine tag-basierten Bedingungsschlüssel.
In der folgenden Tabelle sind die dienstspezifischen Bedingungsschlüssel für Route 53 aufgeführt, die für Route 53 gelten.
| Route 53-Bedingungsschlüssel | API-Operationen | Werttyp | Description |
|---|---|---|---|
route53:ChangeResourceRecordSetsNormalizedRecordNames |
Mehrwertig |
Stellt eine Liste von DNS-Eintragsnamen in der Anfrage von ChangeResourceRecordSets dar. Um das erwartete Verhalten zu erhalten, müssen DNS-Namen in der IAM-Richtlinie wie folgt normalisiert werden:
|
|
route53:ChangeResourceRecordSetsRecordTypes |
Mehrwertig |
Stellt eine Liste von DNS-Eintragstypen in der Anforderung von
|
|
route53:ChangeResourceRecordSetsActions |
Mehrwertig |
Stellt eine Liste von Aktionen in der Anforderung von
|
|
route53:VPCs |
Assoziieren VPCWith HostedZone |
Mehrwertig |
Stellt eine Liste von VPCs in der Anfrage vonAssociateVPCWithHostedZone,DisassociateVPCFromHostedZone, ListHostedZonesByVPCCreateHostedZone,CreateVPCAssociationAuthorization, undDeleteVPCAssociationAuthorization, und, im Format "VPCId=<vpc-id>, VPCRegion = <region> |
route53profiles:ResourceTypes |
Zeichenfolge |
Filtert den Zugriff nach einem bestimmten Ressourcentyp.
|
|
route53profiles:ResourceArns |
ARN |
Filtert den Zugriff nach einer bestimmten Ressource ARNs. | |
route53profiles:HostedZoneDomains |
Zeichenfolge |
Filtert den Zugriff nach Hosted Zone-Domains. Um das erwartete Verhalten zu erzielen, müssen die Domainnamen in der IAM-Richtlinie wie folgt normalisiert werden:
|
|
route53profiles:ResolverRuleDomains |
Zeichenfolge |
Filtert den Zugriff nach Resolver Rule-Domänen. Um das erwartete Verhalten zu erzielen, müssen die Domainnamen in der IAM-Richtlinie wie folgt normalisiert werden:
|
|
route53profiles:FirewallRuleGroupPriority |
Numerischer Wert |
Filtert den Zugriff nach dem Prioritätsbereich einer Firewall-Regelgruppe. | |
route53profiles:ResourceIds |
Zeichenfolge |
Filtert den Zugriff nach bestimmten Kriterien VPCs. |
Beispielrichtlinien: Verwenden von Bedingungen für differenzierten Zugriff
Jedes der Beispiele im folgenden Abschnitt legt die Effektklausel auf „erlauben“ fest und gibt nur die Aktionen, Ressourcen und Parameter an, die erlaubt sind. Zugriff hat lediglich das, was in der IAM-Richtlinie aufgeführt ist.
In einigen Fällen ist es möglich, diese Richtlinien umzuschreiben, damit sie auf Verweigerung basieren (dies bedeutet, die Effektklausel auf „verweigern“ festzulegen und die gesamte Logik in der Richtlinie umzukehren). Allerdings empfehlen wir, dass Sie die Nutzung von Richtlinien, die auf Verweigerung basieren vermeiden, weil es verglichen mit Richtlinien, die auf Berechtigung basieren, schwierig ist, sie korrekt zu schreiben. Dies gilt insbesondere für Route 53 aufgrund der erforderlichen Textnormalisierung.
Berechtigungen erteilen, die den Zugriff auf DNS-Einträge mit bestimmten Namen beschränken
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die ChangeResourceRecordSets-Aktionen in der gehosteten Zone Z12345 für example.com and marketing.example.com erlauben. Sie benutzt den route53:ChangeResourceRecordSetsNormalizedRecordNames-Bedingungsschlüssel, um Benutzeraktionen nur auf die Datensätze zu beschränken, die den angegebenen Namen entsprechen.
ForAllValues:StringEquals ist ein IAM-Bedingungsoperator, der für mehrwertige Schlüssel gilt. Die Bedingung in der obigen Richtlinie erlaubt den Vorgang nur, wenn alle Änderungen in ChangeResourceRecordSets den DNS-Namen example.com haben. Weitere Informationen finden Sie unter IAM-Bedingungsoperatoren undIAM-Bedingung mit mehreren Schlüsseln oder Werten im IAM-Benutzerhandbuch.
Um die Berechtigung zu implementieren, die Namen mit bestimmten Suffixen abgleicht, können Sie den IAM-Platzhalter (*) in der Richtlinie mit Bedingungsoperator StringLike oder StringNotLike verwenden. Die folgende Richtlinie erlaubt den Vorgang, wenn alle Änderungen in der Operation ChangeResourceRecordSets DNS-Namen haben, die mit „-beta.example.com“ enden.
Anmerkung
Der IAM-Platzhalter ist nicht derselbe wie der Platzhalter für den Domänennamen. Im folgenden Beispiel wird gezeigt, wie der Platzhalter mit einem Domänennamen verwendet wird.
Gewähren Sie Berechtigungen, die den Zugriff auf DNS-Einträge einschränken, die mit einem Domänennamen mit Platzhalter übereinstimmen
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die ChangeResourceRecordSets-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Er benutzt den Bedingungsschlüssel route53:ChangeResourceRecordSetsNormalizedRecordNames, um Benutzeraktionen nur auf die Datensätze zu beschränken, die mit *.example.com übereinstimmen.
\052 ist der Oktalcode für das Zeichen * im DNS-Namen und \ in \052 ist entkommen, um \\ zu sein, um JSON-Syntax zu folgen.
Berechtigungen erteilen, die den Zugriff auf bestimmte DNS-Einträge beschränken
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die ChangeResourceRecordSets-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Verwendet die Kombination von drei Bedingungsschlüsseln, um Benutzeraktionen so zu beschränken, dass nur DNS-Einträge mit einem bestimmten DNS-Namen und -Typ erstellt oder bearbeitet werden können.
Berechtigungen erteilen, die den Zugriff auf die Erstellung und Bearbeitung nur der angegebenen Typen von DNS-Einträgen beschränken
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die ChangeResourceRecordSets-Aktionen in der gehosteten Zone Z12345 für example.com erlauben. Sie benutzt den Bedingungsschlüssel route53:ChangeResourceRecordSetsRecordTypes, um Benutzeraktionen nur auf die Datensätze zu beschränken, die den angegebenen Typen (A und AAAA) entsprechen.
Gewähren Sie Berechtigungen, die die VPC angeben, in der der IAM-Prinzipal arbeiten kann
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen,AssociateVPCWithHostedZone,DisassociateVPCFromHostedZone, ListHostedZonesByVPC CreateHostedZoneCreateVPCAssociationAuthorization, und DeleteVPCAssociationAuthorization Aktionen auf der durch die VPC-ID angegebenen VPC.
Wichtig
Der Bedingungswert muss das Format von haben. VPCId=<vpc-id>,VPCRegion=<region> Wenn Sie im Bedingungswert einen VPC-ARN angeben, wird der Bedingungsschlüssel nicht wirksam.
Wichtig
Die route53profiles Bedingungsschlüssel sind überall verfügbar, AWS-Regionen wo Route 53 Route53Profiles verfügbar ist, mit Ausnahme von me-central-1 und me-south-1.
Gewähren Sie Berechtigungen, die die Ressourcenzuweisung auf bestimmte Ressourcentypen in Route 53-Profilen beschränken
Die folgende Berechtigungsrichtlinie gewährt nur dann Berechtigungen AssociateResourceToProfile und DisassociateResourceFromProfile Aktionen, wenn es sich bei dem Ressourcentyp um eine gehostete Zone handelt. Sie verwendet den route53profiles:ResourceTypes Bedingungsschlüssel, um die Ressourcentypen einzuschränken, die einem Profil zugeordnet werden können.
{ "Effect": "Allow", "Action": [ "route53profiles:AssociateResourceToProfile", "route53profiles:DisassociateResourceFromProfile" ], "Resource": "*", "Condition": { "StringEquals": { "route53profiles:ResourceTypes": "HostedZone" } } }
Gewähren Sie Berechtigungen, die die Ressourcenzuweisung auf bestimmte Ressourcen ARNs in Route 53-Profilen beschränken
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen AssociateResourceToProfile und DisassociateResourceFromProfile Aktionen nur für den angegebenen Ressourcen-ARN. Sie verwendet den route53profiles:ResourceArns Bedingungsschlüssel, um einzuschränken, welche Ressourcen einem Profil zugeordnet werden können.
{ "Effect": "Allow", "Action": [ "route53profiles:AssociateResourceToProfile", "route53profiles:DisassociateResourceFromProfile" ], "Resource": "*", "Condition": { "ArnEquals": { "route53profiles:ResourceArns": "arn:aws:route53:::hostedzone/Z12345" } } }
Gewähren Sie Berechtigungen, die die Ressourcenzuweisung auf bestimmte Domänen in gehosteten Zonen in Route 53-Profilen beschränken
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die UpdateProfileResourceAssociation Aktionen zulassen AssociateResourceToProfileDisassociateResourceFromProfile, und nur dann, wenn die Domäne der gehosteten Zone dem angegebenen Wert entspricht. Sie verwendet den route53profiles:HostedZoneDomains Bedingungsschlüssel, um einzuschränken, welche Hosting-Zonendomänen einem Profil zugeordnet werden können.
{ "Effect": "Allow", "Action": [ "route53profiles:AssociateResourceToProfile", "route53profiles:DisassociateResourceFromProfile", "route53profiles:UpdateProfileResourceAssociation" ], "Resource": "*", "Condition": { "StringEquals": { "route53profiles:HostedZoneDomains": "example.com" } } }
Gewähren Sie Berechtigungen, die die Ressourcenzuweisung auf bestimmte Resolver-Regeldomänen in Route 53-Profilen beschränken
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die UpdateProfileResourceAssociation Aktionen zulassen AssociateResourceToProfileDisassociateResourceFromProfile, und nur dann, wenn die Resolver-Regeldomäne dem angegebenen Wert entspricht. Sie verwendet den route53profiles:ResolverRuleDomains Bedingungsschlüssel, um einzuschränken, welche Resolver-Regeldomänen einem Profil zugeordnet werden können.
{ "Effect": "Allow", "Action": [ "route53profiles:AssociateResourceToProfile", "route53profiles:DisassociateResourceFromProfile", "route53profiles:UpdateProfileResourceAssociation" ], "Resource": "*", "Condition": { "StringEquals": { "route53profiles:ResolverRuleDomains": "example.com" } } }
Gewähren Sie Berechtigungen, die die Zuordnung von Firewall-Regelgruppen auf einen bestimmten Prioritätsbereich in Route 53-Profilen beschränken
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen, die UpdateProfileResourceAssociation Aktionen zulassen AssociateResourceToProfileDisassociateResourceFromProfile, und nur dann, wenn die Priorität der Firewall-Regelgruppe innerhalb des angegebenen Bereichs liegt. Sie verwendet den route53profiles:FirewallRuleGroupPriority Bedingungsschlüssel, um die Prioritätswerte einzuschränken, die verwendet werden können.
{ "Effect": "Allow", "Action": [ "route53profiles:AssociateResourceToProfile", "route53profiles:DisassociateResourceFromProfile", "route53profiles:UpdateProfileResourceAssociation" ], "Resource": "*", "Condition": { "NumericGreaterThanEquals": { "route53profiles:FirewallRuleGroupPriority": "100" } } }
Erteilen Sie Berechtigungen, die die Profilzuweisung auf bestimmte Profile VPCs in Route 53 beschränken
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen AssociateProfile und DisassociateProfile Aktionen nur für die angegebene VPC. Sie verwendet den route53profiles:ResourceIds Bedingungsschlüssel, um einzuschränken, VPCs wem ein Profil zugeordnet werden kann.
{ "Effect": "Allow", "Action": [ "route53profiles:AssociateProfile", "route53profiles:DisassociateProfile" ], "Resource": "*", "Condition": { "StringEquals": { "route53profiles:ResourceIds": "vpc-1a2b3c4d5e6f" } } }
