Übersicht zur Verwaltung der Zugriffsberechtigungen für Amazon-Route-53-Ressourcen - Amazon Route 53
ARNs für Amazon Route 53-RessourcenGrundlegendes zum Eigentum an RessourcenVerwaltung des Zugriffs auf -RessourcenAngeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und PrinzipaleAngeben von Bedingungen in einer Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht zur Verwaltung der Zugriffsberechtigungen für Amazon-Route-53-Ressourcen

Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen über Administratoren finden Sie unter Bewährte Methoden für IAM im IAM Benutzerhandbuch.

Wenn Sie Berechtigungen erteilen, entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen Berechtigungen vergeben werden und welche Aktionen für die Benutzer zulässig sind.

Benutzer benötigen programmgesteuerten Zugriff, wenn sie mit AWS außerhalb von interagieren möchten. AWS Management Console Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS

Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.

Welcher Benutzer benötigt programmgesteuerten Zugriff? Bis Von

Mitarbeiteridentität

(Benutzer, die in IAM Identity Center verwaltet werden)

 Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
IAM Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen im IAM-Benutzerhandbuch.
IAM

(Nicht empfohlen)

Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

ARNs für Amazon Route 53-Ressourcen

Amazon Route 53 unterstützt eine Vielzahl von Ressourcentypen für DNS, die Zustandsprüfung und die Domainregistrierung. In einer Richtlinie können Sie den Zugriff auf die folgenden Ressourcen gewähren oder verweigern, indem Sie * für den ARN verwenden:

  • Health checks (Zustandsprüfungen)

  • Gehostete Zonen

  • Wiederverwendbare Delegationssätze

  • Status eines Ressourcendatensatz-Änderungsstapels (nur API)

  • Datenverkehrsrichtlinien (Datenfluss)

  • Datenverkehrsrichtlinien-Instances (Datenfluss)

Nicht alle Route-53-Ressourcen unterstützen Berechtigungen. Für die folgenden Ressourcen können Sie keinen Zugriff gewähren oder verweigern:

  • Domains

  • Individuelle Datensätze

  • Tags für Domänen

  • Tags für Zustandsprüfungen

  • Tags für gehostete Zonen

Route 53 stellt API-Aktionen für die Arbeit mit diesen verschiedenen Typen von Ressourcen bereit. Weitere Informationen finden Sie unter Amazon Route 53 API Reference. Eine Liste der Aktionen mit den anzugebenden ARNs, mit denen ihnen Berechtigungen erteilt oder entzogen werden, finden Sie unter Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen.

Grundlegendes zum Eigentum an Ressourcen

Ein AWS Konto besitzt die Ressourcen, die in dem Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer das AWS Konto der Prinzipalentität (d. h. das Stammkonto oder eine IAM-Rolle), das die Anfrage zur Ressourcenerstellung authentifiziert.

Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie die Root-Kontoanmeldeinformationen Ihres AWS Kontos verwenden, um eine gehostete Zone zu erstellen, ist Ihr AWS Konto der Eigentümer der Ressource.

  • Wenn Sie in Ihrem AWS Konto einen Benutzer erstellen und diesem Benutzer Berechtigungen zum Erstellen einer gehosteten Zone gewähren, kann der Benutzer eine gehostete Zone erstellen. Eigentümer der gehosteten Zone ist jedoch das AWS -Konto, zu dem der Benutzer gehört.

  • Wenn Sie in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen einer gehosteten Zone erstellen, kann jeder, der diese Rolle übernehmen kann, eine gehostete Zone erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die gehostete Zonenressource.

Verwaltung des Zugriffs auf -Ressourcen

Eine Berechtigungsrichtlinie gibt an, wer Zugriff auf welche Objekte hat. In diesem Abschnitt werden die Optionen zum Erstellen von Berechtigungsrichtlinien für Amazon Route 53 erläutert. Allgemeine Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der AWS IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Richtlinien, die einer IAM-Identität zugeordnet sind, werden als identitätsbasierte Richtlinien (IAM-Richtlinien) bezeichnet, während Richtlinien, die einer Ressource zugeordnet sind, als ressourcenbasierte Richtlinien bezeichnet werden. Route 53 unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).

Identitätsbasierte Richtlinien (IAM-Richtlinien)

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:

  • Berechtigungsrichtlinien Benutzern oder Gruppen in Ihrem Konto zuweisen – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um diesem Benutzer Berechtigungen zum Erstellen von Amazon-Route-53-Ressourcen zu erteilen.

  • Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einem Benutzer, der mit einem anderen AWS Konto erstellt wurde, die Erlaubnis zur Durchführung von Route 53-Aktionen erteilen. Dazu ordnen Sie einer IAM-Rolle eine Berechtigungsrichtlinie zu und erlauben dann dem Benutzer in dem anderen Konto, die Rolle einzunehmen. Im folgenden Beispiel wird erklärt, wie dieser Vorgang für zwei AWS -Konten, Konto A und Konto B, funktioniert:

    1. Der Administrator von Konto A erstellt eine IAM-Rolle und weist ihr eine Berechtigungsrichtlinie zu, die Berechtigungen zum Erstellen von oder für den Zugriff auf Ressourcen erteilt, die Konto A gehören.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu. Die Vertrauensrichtlinie identifiziert Konto B als Prinzipal, der die Rolle einnehmen darf.

    3. Anschließend kann der Administrator von Konto B Berechtigungen für Benutzer oder Gruppen in Konto B zuweisen, sodass diese die Rolle einnehmen können. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen bzw. darauf zugreifen.

    Weitere Informationen zum Delegieren von Berechtigungen an Benutzer in einem anderen AWS Konto finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.

Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, die Aktion CreateHostedZone auszuführen und eine öffentliche gehostete Zone für ein AWS -Konto zu erstellen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Wenn Sie möchten, dass die Richtlinie auch für privat gehostete Zonen gilt, müssen Sie Berechtigungen zur Verwendung der Route AssociateVPCWithHostedZone 53-Aktion und zweier EC2 Amazon-Aktionen gewähren, DescribeVpcs undDescribeRegion, wie im folgenden Beispiel gezeigt,:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Weitere Informationen zum Zuweisen von Richtlinien zu Identitäten für Route 53 finden Sie unter Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon Route 53. Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Ressourcenbasierte Richtlinien

Andere Services, z. B. Amazon S3, unterstützen auch die Zuordnung von Berechtigungsrichtlinien zu Ressourcen. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten. Amazon Route 53 unterstützt nicht das Anfügen von Richtlinien an Ressourcen. 

Angeben der Richtlinienelemente: Ressourcen, Aktionen, Effekte und Prinzipale

Amazon Route 53 enthält API-Aktionen (siehe Amazon-Route-53-API-Referenz), die Sie für jede Route-53-Ressource verwenden können (siehe ARNs für Amazon Route 53-Ressourcen). Sie können Benutzern oder verbundenen Benutzern Berechtigungen zur Durchführung beliebiger oder aller dieser Aktionen erteilen. Beachten Sie, dass einige API-Aktionen, z. B. die Registrierung einer Domäne, Berechtigungen zur Durchführung mehrerer Aktionen erfordern.

Grundlegende Richtlinienelemente:

  • Ressource – Sie verwenden einen Amazon-Ressourcennamen (ARN), um die Ressource, für welche die Richtlinie gilt, zu identifizieren. Weitere Informationen finden Sie unter ARNs für Amazon Route 53-Ressourcen.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Beispiel: Abhängig von dem angegebenen Effect erlaubt oder verweigert die Berechtigung route53:CreateHostedZone Benutzern die Durchführung der Route-53-Aktion CreateHostedZone.

  • Effekt – Dies ist die von Ihnen festgelegte Auswirkung (entweder Zugriffserlaubnis oder Zugriffsverweigerung), wenn ein Benutzer versucht, die jeweilige Aktion für die angegebene Ressource durchzuführen. Wenn Sie den Zugriff auf eine Aktion nicht ausdrücklich gestatten, wird er implizit verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien). Route 53 unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen über die Syntax und Beschreibungen von IAM-Richtlinien finden Sie in der AWS IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Eine Tabelle mit einer von allen Route-53-API-Operationen und den Ressourcen, für welche diese gelten, finden Sie unter Amazon-Route-53-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in der Sprache der Richtlinie finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Für Route 53 gibt es keine speziellen Bedingungsschlüssel. Es gibt jedoch AWS zahlreiche Bedingungsschlüssel, die Sie nach Bedarf verwenden können. Eine vollständige Liste der AWS Wide Keys finden Sie unter Verfügbare Schlüssel für Bedingungen im IAM-Benutzerhandbuch.