Présentation de la gestion des autorisations d'accès à vos ressources Amazon Route 53 - Amazon Route 53
ARNs pour les ressources Amazon Route 53Présentation de la propriété des ressourcesGestion de l’accès aux ressources Spécification des éléments d'une stratégie : ressources, actions, effets et mandatairesSpécification de conditions dans une politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de la gestion des autorisations d'accès à vos ressources Amazon Route 53

Chaque AWS ressource appartient à un AWS compte, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur détenant des privilèges d'administrateur. Pour de plus amples informations sur les administrateurs, veuillez consulter Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Lorsque vous accordez des autorisations, vous décidez qui obtient les autorisations, pour quelles ressources, ainsi que les actions autorisées.

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ? Pour Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

 Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.
IAM Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec AWS les ressources du Guide de l'utilisateur IAM.
IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.

ARNs pour les ressources Amazon Route 53

Amazon Route 53 prend en charge différents types de ressources pour DNS, la surveillance de l'état et l'enregistrement de domaine. Dans une stratégie, vous pouvez accorder ou refuser l'accès aux ressources suivantes en utilisant * pour l'ARN :

  • Surveillance de l'état

  • Zones hébergées

  • Ensembles de délégations réutilisables

  • Statut d'un lot de modifications d'un jeu d'enregistrements de ressources (API uniquement)

  • Stratégies de trafic (flux de trafic)

  • Instances de stratégies de trafic (flux de trafic)

Certaines ressources Route 53 ne prennent pas en charge les autorisations. Vous ne pouvez pas accorder ni refuser l'accès aux ressources suivantes :

  • Domaines

  • Enregistrements individuels

  • Balises pour les domaines

  • Balises pour les surveillances de l'état

  • Balises pour les zones hébergées

Route 53 fournit des actions d'API pour utiliser chacun de ces types de ressources. Pour plus d'informations, consultez la référence d'API Amazon Route 53. Pour une liste des actions et l'ARN que vous spécifiez pour accorder ou refuser l'autorisation d'utiliser chaque action, consultez la section Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions.

Présentation de la propriété des ressources

Un AWS compte possède les ressources qui y sont créées, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'entité principale (c'est-à-dire le compte root ou un rôle IAM) qui authentifie la demande de création de ressource.

Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les informations d'identification du compte root de votre AWS compte pour créer une zone hébergée, votre AWS compte est le propriétaire de la ressource.

  • Si vous créez un utilisateur dans votre AWS compte et que vous accordez l'autorisation de créer une zone hébergée à cet utilisateur, celui-ci peut créer une zone hébergée. Toutefois, votre compte AWS , auquel l'utilisateur appartient, détient la ressource des zones hébergées.

  • Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour créer une zone hébergée, toute personne pouvant assumer ce rôle peut créer une zone hébergée. Votre AWS compte, auquel appartient le rôle, possède la ressource de zone hébergée.

Gestion de l’accès aux ressources

Une politique d'autorisation précise qui a accès à quoi. Cette section présente les options de création de politiques d'autorisation pour Amazon Route 53. Pour obtenir des informations d'ordre général sur la syntaxe et les descriptions des politiques IAM, consultez Présentation des politiques AWS IAM dans le Guide de l'utilisateur IAM.

Les stratégies attachées à une identité IAM sont appelées stratégies basées sur l'identité (stratégies IAM) et les stratégies attachées à une ressource sont appelées stratégies basées sur une ressource. Route 53 prend en charge uniquement les stratégies basées sur l'identité (stratégies IAM).

Politiques basées sur une identité (politiques IAM)

Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Attacher une stratégie d'autorisation à un utilisateur ou à un groupe dans votre compte – Un administrateur de compte peut utiliser une stratégie d'autorisation associée à un utilisateur particulier pour autoriser cet utilisateur à créer des ressources Amazon Route 53.

  • Associer une politique d'autorisation à un rôle (accorder des autorisations entre comptes) : vous pouvez autoriser un utilisateur créé par un autre AWS compte à effectuer des actions Route 53. Pour ce faire, vous attachez une politique d'autorisations à un rôle IAM, puis vous autorisez l'utilisateur dans l'autre compte à assumer le rôle. L'exemple suivant explique comment cela fonctionne pour les deux comptes  AWS , le compte A et le compte B :

    1. L'administrateur du Compte A crée un rôle IAM et attache une politique d'autorisations à ce rôle qui accorde des autorisations de création ou d'accès à des ressources qui sont la propriété du Compte A.

    2. L'administrateur du compte A accorde une politique d'approbation au rôle. La politique d'approbation identifie le Compte B comme le compte principal pouvant assumer le rôle.

    3. L'administrateur du Compte B peut ensuite déléguer des autorisations pour assumer le rôle à des utilisateurs ou groupes du Compte B. Cela permet aux utilisateurs du Compte B de créer ou d'accéder aux ressources du Compte A.

    Pour plus d'informations sur la façon de déléguer des autorisations aux utilisateurs d'un autre AWS compte, consultez la section Gestion des accès dans le guide de l'utilisateur IAM.

L'exemple de stratégie suivant permet à un utilisateur d'exécuter l'action CreateHostedZone afin de créer une zone hébergée publique pour n'importe quel compte AWS  :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone"
            ],
            "Resource":"*"
        }
    ]
}

Si vous souhaitez que la politique s'applique également aux zones hébergées privées, vous devez accorder des autorisations pour utiliser l'AssociateVPCWithHostedZoneaction Route 53 et deux EC2 actions Amazon, DescribeVpcs etDescribeRegion, comme indiqué dans l'exemple suivant :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:CreateHostedZone",
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource":"*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeRegion"
            ],
            "Resource":"*"
        },
    ]
}

Pour plus d'informations sur l'attachement de stratégies aux identités pour Route 53, consultez Utilisation des stratégies basées sur l'identité (stratégies IAM) pour Amazon Route 53. Pour plus d’informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le Guide de l’utilisateur IAM.

Politiques basées sur les ressources

D'autres services, tels que Amazon S3, prennent également en charge l'attachement de stratégies d'autorisation aux ressources. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. Amazon Route 53 ne prend pas en charge l'attachement de stratégies aux ressources. 

Spécification des éléments d'une stratégie : ressources, actions, effets et mandataires

Amazon Route 53 inclut des actions d'API (consultez la Référence d'API Amazon Route 53) que vous pouvez utiliser sur chaque ressource Route 53 (voirARNs pour les ressources Amazon Route 53). Vous pouvez accorder à un utilisateur ou à un utilisateur fédéré les autorisations nécessaires pour effectuer tout ou partie de ces actions. Notez que certaines actions d'API, telles que l'enregistrement d'un domaine, requièrent des autorisations pour effectuer plusieurs actions.

Voici les éléments de base d'une politique :

  • Ressource : vous utilisez un nom Amazon Resource Name (ARN) pour identifier la ressource à laquelle s'applique la politique. Pour de plus amples informations, veuillez consulter ARNs pour les ressources Amazon Route 53.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'élément Effect indiqué, l'autorisation route53:CreateHostedZone accorde ou refuse à un utilisateur la possibilité d'exécuter l'action CreateHostedZone Route 53.

  • Effet : vous spécifiez l'effet, autoriser ou refuser, lorsqu'un utilisateur tente d'exécuter l'action sur la ressource spécifiée. Si vous n'accordez pas explicitement l'accès à une action, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde l'accès.

  • Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). Route 53 ne prend pas en charge les stratégies basées sur une ressource.

Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez Référence de politique AWS IAM dans le Guide de l'utilisateur IAM.

Pour obtenir une liste des présentant toutes les opérations d'API Route 53, ainsi que les ressources auxquelles elles s'appliquent, consultez Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy IAM pour indiquer quand une politique doit prendre effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification des conditions dans un langage de stratégie, veuillez consulter la rubrique Éléments de stratégie IAM JSON : Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à Route 53. Cependant, il existe de AWS larges clés d'état que vous pouvez utiliser selon vos besoins. Pour obtenir la liste complète des touches AWS larges, consultez la section Clés disponibles pour connaître les conditions dans le guide de l'utilisateur IAM.