Acciones, recursos y claves de condición para Amazon Route 53
Amazon Route 53 (prefijo de servicio: route53) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon Route 53
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Nivel de acceso de la tabla Acciones describe cómo se clasifica la acción (lista, lectura, administración de permisos o etiquetado). Esta clasificación puede ayudarle a entender el nivel de acceso que una acción concede cuando se utiliza en una política. Para obtener más información sobre los niveles de acceso, consulte Niveles de acceso en los resúmenes de políticas.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
La columna Acciones dependientes de la tabla Acciones muestra los permisos adicionales que pueden ser necesarios para llamar a una acción correctamente. Es posible que estos permisos sean necesarios además del permiso para la acción en sí. Cuando una acción especifica acciones dependientes, esas dependencias pueden aplicarse a los recursos adicionales definidos para esa acción, no solo al primer recurso de la tabla.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| ActivateKeySigningKey | Concede permiso para activar una clave de firma de clave para que las DNSSEC puedan usarla para firmar | Write | |||
| AssociateVPCWithHostedZone | Concede permiso para asociar un Amazon VPC adicional con una zona hospedada privada. | Escritura |
ec2:DescribeVpcs |
||
| ChangeCidrCollection | Otorga permiso para crear o eliminar bloques de CIDR dentro de una colección CIDR | Escritura | |||
| ChangeResourceRecordSets | Concede permiso para crear, actualizar o eliminar un registro, que contiene información de DNS de autorización para un nombre de dominio o subdominio especificados. | Write | |||
|
route53:ChangeResourceRecordSetsNormalizedRecordNames |
|||||
| ChangeTagsForResource | Otorga permiso para agregar, editar o eliminar etiquetas para una comprobación de estado o una zona alojada. | Etiquetado | |||
| CreateCidrCollection | Otorga permiso para crear una nueva colección CIDR | Escritura | |||
| CreateHealthCheck | Concede permiso para crear una nueva comprobación de estado que monitorea el estado y el desempeño de sus aplicaciones web, servidores web y otros recursos. | Write | |||
| CreateHostedZone | Concede permiso para crear una zona hospedada pública, que se utiliza para especificar la manera en que el sistema de nombres de dominio (DNS) redirige el tráfico en Internet para un dominio (como example.com) y sus subdominios. | Write |
ec2:DescribeVpcs |
||
| CreateKeySigningKey | Concede permiso para crear una nueva clave de firma de clave asociada a una zona alojada | Write | |||
| CreateQueryLoggingConfig | Concede permiso para crear una configuración para el registro de consultas de DNS. | Write | |||
| CreateReusableDelegationSet | Concede permiso para crear un conjunto de delegación (un grupo de cuatro servidores de nombres) que pueden reutilizar varias zonas hospedadas. | Write | |||
| CreateTrafficPolicy | Otorga permiso para crear una política de tráfico, que se utiliza para crear varios registros de DNS de un nombre de dominio (como example.com) o un nombre de subdominio (como www.example.com). | Write | |||
| CreateTrafficPolicyInstance | Concede permiso para crear los registros de una zona hospedada especificada en función de la configuración de una determinada versión de política de tráfico. | Write | |||
| CreateTrafficPolicyVersion | Concede permiso para crear una nueva versión de una política de tráfico existente. | Write | |||
| CreateVPCAssociationAuthorization | Otorga permiso para autorizar a la Cuenta de AWS que ha creado una VPC especificada para enviar una solicitud AssociateVPCWithHostedZone, que asocia la VPC con una zona alojada especificada creada por otra cuenta | Write | |||
| DeactivateKeySigningKey | Concede permiso para desactivar una clave de firma de clave para que las DNSSEC no la usen para firmar | Escritura | |||
| DeleteCidrCollection | Otorga permiso para eliminar una colección CIDR | Escritura | |||
| DeleteHealthCheck | Concede permiso para eliminar una comprobación de estado. | Write | |||
| DeleteHostedZone | Concede permiso para eliminar una zona hospedada. | Write | |||
| DeleteKeySigningKey | Concede permiso para eliminar una clave de firma de clave | Write | |||
| DeleteQueryLoggingConfig | Concede permiso para eliminar una configuración para el registro de consultas de DNS. | Write | |||
| DeleteReusableDelegationSet | Concede permiso para eliminar un conjunto de delegación reutilizable. | Write | |||
| DeleteTrafficPolicy | Concede permiso para eliminar una política de tráfico. | Write | |||
| DeleteTrafficPolicyInstance | Concede permiso para eliminar una instancia de política de tráfico y todos los registros que Route 53 creó cuando usted creó la instancia. | Write | |||
| DeleteVPCAssociationAuthorization | Concede permiso para quitar la autorización asociar una Amazon Virtual Private Cloud con una zona hospedada privada Route 53. | Write | |||
| DisableHostedZoneDNSSEC | Otorga permiso para desactivar la firma de DNSSEC en una zona alojada específica | Write | |||
| DisassociateVPCFromHostedZone | Concede permiso para desasociar una Amazon Virtual Private Cloud de una zona hospedada privada Route 53. | Write |
ec2:DescribeVpcs |
||
| EnableHostedZoneDNSSEC | Concede permiso para habilitar la firma de DNSSEC en una zona alojada específica | Write | |||
| GetAccountLimit | Concede permiso para obtener el límite especificado para la cuenta actual, por ejemplo, el número máximo de comprobaciones de estado que puede crear con la cuenta. | Read | |||
| GetChange | Concede permiso para obtener el estado actual de una solicitud para crear, actualizar o eliminar uno o varios registros. | List | |||
| GetCheckerIpRanges | Concede permiso para obtener una lista de los rangos de IP que utilizan los comprobadores de estado de Route 53 para comprobar el estado de los recursos. | List | |||
| GetDNSSEC | Concede permiso para obtener información sobre DNSSEC para una zona alojada específica, incluidas las claves de firma de claves en la zona alojada | Read | |||
| GetGeoLocation | Concede permiso para obtener información acerca de si una ubicación geográfica especificada es compatible con los registros de geolocalización Route 53. | List | |||
| GetHealthCheck | Concede permiso para obtener información acerca de una comprobación de estado especificada. | Read | |||
| GetHealthCheckCount | Otorga permiso para obtener la cantidad de comprobaciones de estado asociadas con la actual Cuenta de AWS | List | |||
| GetHealthCheckLastFailureReason | Concede permiso para obtener la razón por la que una comprobación de estado especificada fue errónea más recientemente. | List | |||
| GetHealthCheckStatus | Concede permiso para obtener el estado de una comprobación de estado especificada. | List | |||
| GetHostedZone | Concede permiso para obtener información acerca de una zona hospedada especificada, incluidos los cuatro servidores de nombres que Route 53 asignó a la zona hospedada. | List | |||
| GetHostedZoneCount | Otorga permiso para obtener la cantidad de zonas alojadas asociadas a la actual Cuenta de AWS | List | |||
| GetHostedZoneLimit | Concede permiso para obtener el límite especificado para una zona hospedada especificada. | Read | |||
| GetQueryLoggingConfig | Concede permiso para obtener información acerca de una configuración especificada para el registro de consultas de DNS. | Read | |||
| GetReusableDelegationSet | Concede permiso para obtener información acerca de un conjunto de delegación reutilizable especificado, incluidos los cuatro servidores de nombres que están asignados al conjunto de delegación. | List | |||
| GetReusableDelegationSetLimit | Concede permiso para obtener el número máximo de zonas hospedadas que puede asociar al conjunto de delegación reutilizable especificado. | Read | |||
| GetTrafficPolicy | Concede permiso para obtener información acerca de una versión de política de tráfico especificada. | Read | |||
| GetTrafficPolicyInstance | Concede permiso para obtener información acerca de una instancia de política de tráfico especificada. | Read | |||
| GetTrafficPolicyInstanceCount | Otorga permiso para obtener la cantidad de instancias de políticas de tráfico asociadas con la actual Cuenta de AWS | Lectura | |||
| ListCidrBlocks | Otorga permiso para obtener una lista de los bloques CIDR dentro de una colección CIDR especificada | Enumeración | |||
| ListCidrCollections | Otorga permiso para obtener una lista de las colecciones CIDR asociadas con la Cuenta de AWS actual | Enumeración | |||
| ListCidrLocations | Otorga permiso para obtener una lista de ubicaciones CIDR que pertenecen a una colección CIDR especificada | Enumeración | |||
| ListGeoLocations | Concede permiso para obtener una lista de ubicaciones geográficas que Route 53 admite para geolocalización. | Lectura | |||
| ListHealthChecks | Otorga permiso para obtener una lista de las comprobaciones de estado asociadas con la actual Cuenta de AWS | Lectura | |||
| ListHostedZones | Otorga permiso para obtener una lista de las zonas alojadas públicas y privadas asociadas a la actual Cuenta de AWS | List | |||
| ListHostedZonesByName | Concede permiso para obtener una lista de sus zonas hospedadas en orden lexicográfico. Las zonas alojadas se ordenan por nombre con las etiquetas invertidas; por ejemplo, com.example.www | Enumeración | |||
| ListHostedZonesByVPC | Concede permiso para obtener una lista de todas las zonas alojadas privadas con las que está asociada una VPC especificada | Enumeración |
ec2:DescribeVpcs |
||
| ListQueryLoggingConfigs | Otorga permiso para enumerar las configuraciones para el registro de consultas de DNS asociadas a la Cuenta de AWS actual o la configuración asociada a una zona alojada especificada | Enumeración | |||
| ListResourceRecordSets | Concede permiso para enumerar los registros de una zona hospedada especificada. | List | |||
| ListReusableDelegationSets | Otorga permiso para enumerar los conjuntos de delegación reutilizables asociados con la actual Cuenta de AWS. | Lectura | |||
| ListTagsForResource | Concede permiso para enumerar las etiquetas de una comprobación de estado o zona hospedada | Lectura | |||
| ListTagsForResources | Concede permiso para enumerar las etiquetas de hasta 10 comprobaciones de estado o zonas hospedadas. | Lectura | |||
| ListTrafficPolicies | Otorga permiso para obtener información acerca de la versión más reciente de cada política de tráfico asociada a la actual Cuenta de AWS. Las políticas están enumeradas en el orden en el que se crearon | Enumeración | |||
| ListTrafficPolicyInstances | Otorga permiso para obtener información acerca de las instancias de políticas de tráfico que haya creado mediante la actual Cuenta de AWS | Lectura | |||
| ListTrafficPolicyInstancesByHostedZone | Concede permiso para obtener información acerca de las instancias de políticas de tráfico que haya creado en una zona hospedada especificada. | List | |||
| ListTrafficPolicyInstancesByPolicy | Concede permiso para obtener información acerca de las instancias de políticas de tráfico que haya creado usando una versión de política de tráfico especificada. | List | |||
| ListTrafficPolicyVersions | Concede permiso para obtener información acerca de todas las versiones de una política de tráfico especificada. | List | |||
| ListVPCAssociationAuthorizations | Concede permiso para obtener una lista de las VPC que se han creado por otras cuentas y que se pueden asociar a una zona hospedada especificada. | List | |||
| TestDNSAnswer | Concede permiso para obtener el valor que Route 53 devuelve en respuesta a una consulta de DNS para un nombre de registro y tipo especificados. | Read | |||
| UpdateHealthCheck | Concede permiso para actualizar una comprobación de estado existente. | Write | |||
| UpdateHostedZoneComment | Concede permiso para actualizar el comentario de una zona hospedada especificada. | Write | |||
| UpdateTrafficPolicyComment | Concede permiso para actualizar el comentario de una versión de política de tráfico especificada. | Write | |||
| UpdateTrafficPolicyInstance | Concede permiso para actualizar los registros de una zona hospedada especificada que se crearon basados en la configuración de una determinada versión de política de tráfico. | Write |
Tipos de recurso definidos por Amazon Route 53
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| cidrcollection |
arn:${Partition}:route53:::cidrcollection/${Id}
|
|
| change |
arn:${Partition}:route53:::change/${Id}
|
|
| delegationset |
arn:${Partition}:route53:::delegationset/${Id}
|
|
| healthcheck |
arn:${Partition}:route53:::healthcheck/${Id}
|
|
| hostedzone |
arn:${Partition}:route53:::hostedzone/${Id}
|
|
| trafficpolicy |
arn:${Partition}:route53:::trafficpolicy/${Id}
|
|
| trafficpolicyinstance |
arn:${Partition}:route53:::trafficpolicyinstance/${Id}
|
|
| queryloggingconfig |
arn:${Partition}:route53:::queryloggingconfig/${Id}
|
|
| vpc |
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
|
Claves de condición de Amazon Route 53
Amazon Route 53 define las siguientes claves de condiciones que se pueden usar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte AWSClaves de contexto de condición globales.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| route53:ChangeResourceRecordSetsActions | Filtra el acceso por las acciones de cambio CREATE, UPSERT o DELETE en una solicitud ChangeResourceRecordSets | ArrayOfString |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | Filtra el acceso por los nombres de registro DNS normalizados en una solicitud ChangeResourceRecordSets | ArrayOfString |
| route53:ChangeResourceRecordSetsRecordTypes | Filtra el acceso por los tipos de registro DNS en una solicitud ChangeResourceRecordSets | ArrayOfString |
| route53:VPCs | Filtra el acceso por las VPC de la solicitud. | Cadena |
