Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Identity and Access Management dans Amazon Route 53
Pour effectuer toute opération sur les ressources Amazon Route 53, telle que l'enregistrement d'un domaine ou la mise à jour d'un enregistrement, Gestion des identités et des accès AWS (IAM) vous oblige à authentifier que vous êtes un utilisateur approuvé AWS . Si vous utilisez la console Route 53, vous authentifiez votre identité en fournissant votre nom d'utilisateur AWS et un mot de passe.
Après avoir authentifié votre identité, IAM contrôle votre accès AWS en vérifiant que vous êtes autorisé à effectuer des opérations et à accéder aux ressources. Si vous êtes un administrateur de compte, vous pouvez utiliser IAM pour contrôler l'accès d'autres utilisateurs aux ressources qui sont associées à votre compte.
Ce chapitre explique comment utiliser [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) et Route 53 pour aider à sécuriser vos ressources.
**Topics**
+ [Authentification par des identités](#security_iam_authentication)
+ [Contrôle d’accès](#access-control)
+ [Présentation de la gestion des autorisations d'accès à vos ressources Amazon Route 53](access-control-overview.md)
+ [Utilisation des stratégies basées sur l'identité (stratégies IAM) pour Amazon Route 53](access-control-managing-permissions.md)
+ [Utilisation de rôles liés à un service pour Amazon Route 53 Resolver](using-service-linked-roles.md)
+ [AWS politiques gérées pour Amazon Route 53](security-iam-awsmanpol-route53.md)
+ [Utilisation de conditions de politique IAM pour un contrôle d’accès précis](specifying-conditions-route53.md)
+ [Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md)
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Contrôle d’accès
Pour créer, mettre à jour, supprimer ou répertorier des ressources Amazon Route 53, vous devez détenir les autorisations nécessaires pour effectuer l'opération et pour accéder aux ressources correspondantes.
Les sections suivantes décrivent comment gérer les autorisations pour Route 53. Nous vous recommandons de lire d’abord la présentation.
**Topics**
# Présentation de la gestion des autorisations d'accès à vos ressources Amazon Route 53
Chaque AWS ressource appartient à un AWS compte, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation.
**Note**
Un *administrateur de compte* (ou utilisateur administrateur) est un utilisateur détenant des privilèges d'administrateur. Pour de plus amples informations sur les administrateurs, veuillez consulter [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.
Lorsque vous accordez des autorisations, vous décidez qui obtient les autorisations, pour quelles ressources, ainsi que les actions autorisées.
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
****
| Quel utilisateur a besoin d’un accès programmatique ? | À | Méthode |
| --- | --- | --- |
| IAM | (Recommandé) Utilisez les informations d'identification de la console comme informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/access-control-overview.html) |
| Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de la section [Utilisation d'informations d'identification temporaires avec AWS les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) du Guide de l'utilisateur IAM. |
| IAM | (Non recommandé)Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [ARNs pour les ressources Amazon Route 53](#access-control-resources)
+ [Présentation de la propriété des ressources](#access-control-owner)
+ [Gestion de l’accès aux ressources](#access-control-manage-access-intro)
+ [Spécification des éléments d'une stratégie : ressources, actions, effets et mandataires](#access-control-specify-r53-actions)
+ [Spécification de conditions dans une politique](#specifying-conditions)
## ARNs pour les ressources Amazon Route 53
Amazon Route 53 prend en charge différents types de ressources pour DNS, la surveillance de l'état et l'enregistrement de domaine. Dans une stratégie, vous pouvez accorder ou refuser l'accès aux ressources suivantes en utilisant `*` pour l'ARN :
+ Surveillance de l'état
+ Zones hébergées
+ Ensembles de délégations réutilisables
+ Statut d'un lot de modifications d'un jeu d'enregistrements de ressources (API uniquement)
+ Stratégies de trafic (flux de trafic)
+ Instances de stratégies de trafic (flux de trafic)
Certaines ressources Route 53 ne prennent pas en charge les autorisations. Vous ne pouvez pas accorder ni refuser l'accès aux ressources suivantes :
+ Domains
+ Enregistrements individuels
+ Balises pour les domaines
+ Balises pour les surveillances de l'état
+ Balises pour les zones hébergées
Route 53 fournit des actions d'API pour utiliser chacun de ces types de ressources. Pour plus d'informations, consultez la [référence d'API Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/). Pour une liste des actions et l'ARN que vous spécifiez pour accorder ou refuser l'autorisation d'utiliser chaque action, consultez la section [Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
## Présentation de la propriété des ressources
Un AWS compte possède les ressources qui y sont créées, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire de la ressource est le AWS compte de l'entité principale (c'est-à-dire le compte root ou un rôle IAM) qui authentifie la demande de création de ressource.
Les exemples suivants illustrent comment cela fonctionne :
+ Si vous utilisez les informations d'identification du compte root de votre AWS compte pour créer une zone hébergée, votre AWS compte est le propriétaire de la ressource.
+ Si vous créez un utilisateur dans votre AWS compte et que vous accordez l'autorisation de créer une zone hébergée à cet utilisateur, celui-ci peut créer une zone hébergée. Toutefois, votre compte AWS , auquel l'utilisateur appartient, détient la ressource des zones hébergées.
+ Si vous créez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour créer une zone hébergée, toute personne pouvant assumer ce rôle peut créer une zone hébergée. Votre AWS compte, auquel appartient le rôle, possède la ressource de zone hébergée.
## Gestion de l’accès aux ressources
Une *politique d'autorisation* précise qui a accès à quoi. Cette section présente les options de création de politiques d'autorisation pour Amazon Route 53. Pour obtenir des informations d'ordre général sur la syntaxe et les descriptions des politiques IAM, consultez [Présentation des politiques AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Les stratégies attachées à une identité IAM sont appelées stratégies *basées sur l'identité* (stratégies IAM) et les stratégies attachées à une ressource sont appelées stratégies *basées sur une ressource*. Route 53 prend en charge uniquement les stratégies basées sur l'identité (stratégies IAM).
**Topics**
+ [Politiques basées sur une identité (politiques IAM)](#access-control-manage-access-intro-iam-policies)
+ [Politiques basées sur les ressources](#access-control-manage-access-intro-resource-policies)
### Politiques basées sur une identité (politiques IAM)
Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :
+ **Attacher une stratégie d'autorisation à un utilisateur ou à un groupe dans votre compte** – Un administrateur de compte peut utiliser une stratégie d'autorisation associée à un utilisateur particulier pour autoriser cet utilisateur à créer des ressources Amazon Route 53.
+ **Associer une politique d'autorisation à un rôle (accorder des autorisations entre comptes)** : vous pouvez autoriser un utilisateur créé par un autre AWS compte à effectuer des actions Route 53. Pour ce faire, vous attachez une politique d'autorisations à un rôle IAM, puis vous autorisez l'utilisateur dans l'autre compte à assumer le rôle. L'exemple suivant explique comment cela fonctionne pour les deux comptes AWS , le compte A et le compte B :
1. L'administrateur du Compte A crée un rôle IAM et attache une politique d'autorisations à ce rôle qui accorde des autorisations de création ou d'accès à des ressources qui sont la propriété du Compte A.
1. L'administrateur du compte A accorde une politique d'approbation au rôle. La politique d'approbation identifie le Compte B comme le compte principal pouvant assumer le rôle.
1. L'administrateur du Compte B peut ensuite déléguer des autorisations pour assumer le rôle à des utilisateurs ou groupes du Compte B. Cela permet aux utilisateurs du Compte B de créer ou d'accéder aux ressources du Compte A.
Pour plus d'informations sur la façon de déléguer des autorisations aux utilisateurs d'un autre AWS compte, consultez la section [Gestion des accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *guide de l'utilisateur IAM*.
L'exemple de stratégie suivant permet à un utilisateur d'exécuter l'action `CreateHostedZone` afin de créer une zone hébergée publique pour n'importe quel compte AWS :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
Pour que la stratégie s'applique également aux zones hébergées privées, vous devez accorder des autorisations pour utiliser l'action `AssociateVPCWithHostedZone` Route 53 et deux actions Amazon EC2, `DescribeVpcs` et `DescribeRegion`, comme illustré dans l'exemple suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur l'attachement de stratégies aux identités pour Route 53, consultez [Utilisation des stratégies basées sur l'identité (stratégies IAM) pour Amazon Route 53](access-control-managing-permissions.md). Pour plus d’informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
D'autres services, tels que Amazon S3, prennent également en charge l'attachement de stratégies d'autorisation aux ressources. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. Amazon Route 53 ne prend pas en charge l'attachement de stratégies aux ressources.
## Spécification des éléments d'une stratégie : ressources, actions, effets et mandataires
Amazon Route 53 inclut des actions d'API (consultez la [Référence d'API Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/APIReference/)) que vous pouvez utiliser sur chaque ressource Route 53 (voir[ARNs pour les ressources Amazon Route 53](#access-control-resources)). Vous pouvez accorder à un utilisateur ou à un utilisateur fédéré les autorisations nécessaires pour effectuer tout ou partie de ces actions. Notez que certaines actions d'API, telles que l'enregistrement d'un domaine, requièrent des autorisations pour effectuer plusieurs actions.
Voici les éléments de base d'une politique :
+ **Ressource :** vous utilisez un nom Amazon Resource Name (ARN) pour identifier la ressource à laquelle s'applique la politique. Pour de plus amples informations, veuillez consulter [ARNs pour les ressources Amazon Route 53](#access-control-resources).
+ **Action :** vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'élément `Effect` indiqué, l'autorisation `route53:CreateHostedZone` accorde ou refuse à un utilisateur la possibilité d'exécuter l'action `CreateHostedZone` Route 53.
+ **Effet :** vous spécifiez l'effet, autoriser ou refuser, lorsqu'un utilisateur tente d'exécuter l'action sur la ressource spécifiée. Si vous n'accordez pas explicitement l'accès à une action, l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce que vous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde l'accès.
+ **Principal** – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). Route 53 ne prend pas en charge les stratégies basées sur une ressource.
Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez [Référence de politique AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Pour obtenir une liste des présentant toutes les opérations d'API Route 53, ainsi que les ressources auxquelles elles s'appliquent, consultez [Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
## Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy IAM pour indiquer quand une politique doit prendre effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification des conditions dans un langage de stratégie, veuillez consulter la rubrique [Éléments de stratégie IAM JSON : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à Route 53. Cependant, il existe de AWS larges clés d'état que vous pouvez utiliser selon vos besoins. Pour obtenir la liste complète des touches AWS larges, consultez la section [Clés disponibles pour connaître les conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
# Utilisation des stratégies basées sur l'identité (stratégies IAM) pour Amazon Route 53
Cette rubrique fournit des exemples de stratégies basées sur l'identité qui montrent comment un administrateur de compte peut lier des stratégies d'autorisations à des identités IAM et accorder ainsi des autorisations pour effectuer des opérations sur les ressources Amazon Route 53.
**Important**
Nous vous recommandons d'examiner d'abord les rubriques de présentation qui détaillent les concepts de base et les options de gestion de l'accès à vos ressources Route 53. Pour de plus amples informations, veuillez consulter [Présentation de la gestion des autorisations d'accès à vos ressources Amazon Route 53](access-control-overview.md).
**Note**
Lors de l'autorisation d'accès, la zone hébergée et Amazon VPC doivent appartenir à la même partition. Une partition est un groupe de Régions AWS. Chacune Compte AWS est limitée à une partition.
Les partitions prises en charge sont les suivantes :
`aws` - Régions AWS
`aws-cn` - Régions chinoises
`aws-us-gov` - AWS GovCloud (US) Region
Pour plus d'informations, consultez la section [Access Management](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) (Gestion des accès) et [Amazon Route 53 endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/r53.html) (points de terminaison et quotas Amazon Route 53) dans la *Référence générale AWS *.
**Topics**
+ [Autorisations requises pour utiliser la console Amazon Route 53](#console-required-permissions)
+ [Exemples d'autorisations pour un propriétaire d'enregistrement de domaine](#example-permissions-record-owner)
+ [Autorisations de clé gérées par le client Route 53 requises pour la signature DNSSEC](#KMS-key-policy-for-DNSSEC)
+ [Exemples de politiques gérées par le client](#access-policy-examples-for-sdk-cli)
Voici un exemple de stratégie d'autorisation. Le `Sid`, ou ID de l'instruction, est facultatif :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AllowPublicHostedZonePermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:UpdateHostedZoneComment",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:DeleteHostedZone",
"route53:ChangeResourceRecordSets",
"route53:ListResourceRecordSets",
"route53:GetHostedZoneCount",
"route53:ListHostedZonesByName"
],
"Resource": "*"
},
{
"Sid" : "AllowHealthCheckPermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:GetHealthCheck",
"route53:ListHealthChecks",
"route53:DeleteHealthCheck",
"route53:GetCheckerIpRanges",
"route53:GetHealthCheckCount",
"route53:GetHealthCheckStatus",
"route53:GetHealthCheckLastFailureReason"
],
"Resource": "*"
}
]
}
```
------
La stratégie comprend deux déclarations :
+ La première instruction accorde des autorisations aux actions requises pour créer et gérer des zones hébergées publiques et leurs enregistrements. Le caractère générique (\$1) dans le nom de ressource Amazon (ARN) donne accès à toutes les zones hébergées détenues par le AWS compte courant.
+ La deuxième déclaration accorde des autorisations à toutes les actions qui sont nécessaires pour créer et gérer les surveillance de l'état.
Pour une liste des actions et l'ARN que vous spécifiez pour accorder ou refuser l'autorisation d'utiliser chaque action, consultez la section [Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
## Autorisations requises pour utiliser la console Amazon Route 53
Pour accorder un accès complet à la console Amazon Route 53, vous accordez les autorisations dans la stratégie d'autorisations suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:*",
"route53domains:*",
"tag:*",
"ssm:GetParametersByPath",
"cloudfront:ListDistributions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"sns:CreateTopic",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateKey",
"kms:CreateAlias",
"kms:Sign",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
Voici pourquoi les autorisations sont obligatoires :
**`route53:*`**
Permet d'exécuter toutes les actions Route 53, *sauf* les actions suivantes :
+ Créez et mettez à jour des enregistrements d'alias pour lesquels la valeur d'**Alias Target** est une CloudFront distribution, un équilibreur de charge Elastic Load Balancing, un environnement Elastic Beanstalk ou un bucket Amazon S3. (Avec ces autorisations, vous pouvez créer des enregistrements d'alias pour lesquels la valeur de **Alias Target** est un autre enregistrement dans la même zone hébergée.)
+ Utiliser des zones hébergées privées.
+ Utiliser des domaines.
+ Créez, supprimez et visualisez les CloudWatch alarmes.
+ Afficher CloudWatch les métriques dans la console Route 53.
**`route53domains:*`**
Permet d'utiliser des domaines.
Si vous répertoriez les actions `route53` individuellement, vous devez inclure `route53:CreateHostedZone` pour utiliser des domaines. Lorsque vous enregistrez un domaine, une zone hébergée est créée simultanément. Une stratégie qui inclut l'autorisation d'enregistrer des domaines doit donc également inclure l'autorisation de créer des zones hébergées.
Pour l'enregistrement de domaine, Route 53 ne prend pas en charge l'octroi ou le refus d'autorisations à des ressources individuelles.
**`route53resolver:*`**
Vous permet de travailler avec le résolveur VPC Route 53.
**`ssm:GetParametersByPath`**
Vous permet de récupérer des régions accessibles au public lorsque vous créez de nouveaux enregistrements d'alias, des zones hébergées privées et des surveillances de l'état.
**`cloudfront:ListDistributions`**
Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur d'**Alias Target** est une CloudFront distribution.
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir une liste des distributions à afficher dans la console.
**`elasticloadbalancing:DescribeLoadBalancers`**
Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur de **Alias Target (Cible de l'alias)** est un équilibreur de charge ELB.
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir une liste des équilibreurs de charge à afficher dans la console.
**`elasticbeanstalk:DescribeEnvironments`**
Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur de **Alias Target (Cible de l'alias)** est un environnement Elastic Beanstalk.
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir une liste des environnements à afficher dans la console.
**`s3:ListAllMyBuckets`, `s3:GetBucketLocation` et `s3:GetBucketWebsite`**
Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur de **Alias Target (Cible de l'alias)** est un compartiment Amazon S3. (Vous pouvez créer un alias dans un compartiment Amazon S3 uniquement si le compartiment est configuré en tant que point de terminaison de site web ; `s3:GetBucketWebsite` obtient les informations de configuration nécessaires.)
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir une liste des compartiments à afficher dans la console.
**`ec2:DescribeVpcs` et `ec2:DescribeRegions`**
Permet d'utiliser des zones hébergées privées.
**Toutes les autorisations `ec2` répertoriées**
Permettez-vous de travailler avec le résolveur VPC Route 53.
**`sns:ListTopics`, `sns:ListSubscriptionsByTopic`, `sns:CreateTopic`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms`**
Vous permet de créer, de supprimer et de visualiser les CloudWatch alarmes.
**`cloudwatch:GetMetricStatistics`**
Permet de créer des CloudWatch bilans de santé métriques.
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir des statistiques à afficher dans la console.
**`apigateway:GET`**
Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur **Alias Target (Cible de l'alias)** est une API Amazon API Gateway.
Cette autorisation n'est pas nécessaire si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir une liste de APIs à afficher dans la console.
**`kms:*`**
Vous permet de travailler avec AWS KMS pour activer la signature DNSSEC.
## Exemples d'autorisations pour un propriétaire d'enregistrement de domaine
Avec les autorisations d'ensemble d'enregistrements de ressources, vous pouvez définir des autorisations granulaires qui limitent ce que l' AWS utilisateur peut mettre à jour ou modifier. Pour de plus amples informations, veuillez consulter [Utilisation de conditions de politique IAM pour un contrôle d’accès précis](specifying-conditions-route53.md).
Dans certains scénarios, un propriétaire de zone hébergée peut être responsable de la gestion globale de la zone hébergée, tandis qu'une autre personne de l'organisation est responsable d'un sous-ensemble de ces tâches. Un propriétaire de zone hébergée qui a activé la signature DNSSEC, par exemple, peut souhaiter créer une politique IAM qui inclut l'autorisation pour quelqu'un d'autre d'ajouter et de supprimer des enregistrements d'ensembles de ressources (RRs) dans la zone hébergée, entre autres tâches. Les autorisations spécifiques qu'un propriétaire de zone hébergée choisit d'activer pour un propriétaire d'enregistrement ou d'autres personnes dépendent de la stratégie de leur organisation.
Voici un exemple de politique IAM qui permet au propriétaire d'un enregistrement d'apporter des modifications aux RRs politiques de trafic et aux contrôles de santé. Un propriétaire d'enregistrement doté de cette stratégie n'est pas autorisé à effectuer des opérations au niveau de la zone, telles que la création ou la suppression d'une zone, l'activation ou la désactivation de la journalisation des requêtes, la création ou la suppression d'un jeu de délégations réutilisable ou la modification des paramètres DNSSEC.
```
{
"Sid": "Do not allow zone-level modification ",
"Effect": "Allow",
"Action": [
"route53:ChangeResourceRecordSets",
"route53:CreateTrafficPolicy",
"route53:DeleteTrafficPolicy",
"route53:CreateTrafficPolicyInstance",
"route53:CreateTrafficPolicyVersion",
"route53:UpdateTrafficPolicyInstance",
"route53:UpdateTrafficPolicyComment",
"route53:DeleteTrafficPolicyInstance",
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck",
"route53:List*",
"route53:Get*"
],
"Resource": [
"*"
]
}
```
## Autorisations de clé gérées par le client Route 53 requises pour la signature DNSSEC
Lorsque vous activez la signature DNSSEC pour Route 53, Route 53 crée une clé de signature clé (KSK) basée sur une clé gérée par le client dans (). AWS Key Management Service AWS KMS Vous pouvez utiliser une clé gérée par le client existante qui prend en charge la signature DNSSEC ou en créer une nouvelle. Route 53 doit être autorisé à accéder à votre clé gérée par le client afin de pouvoir créer la clé KSK pour vous.
Pour activer Route 53 pour accéder à votre clé gérée par le client, assurez-vous que votre stratégie de clé gérée par le client contient les instructions suivantes :
```
{
"Sid": "Allow Route 53 DNSSEC Service",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:DescribeKey",
"kms:GetPublicKey",
"kms:Sign"],
"Resource": "*"
},
{
"Sid": "Allow Route 53 DNSSEC to CreateGrant",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:CreateGrant"],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
```
Le problème de député confus est un problème de sécurité dans lequel une entité sans autorisation pour une action peut contraindre une entité plus privilégiée à le faire. Pour vous AWS KMS en protéger, vous pouvez éventuellement limiter les autorisations accordées à un service sur une ressource dans le cadre d'une politique basée sur les ressources en fournissant une combinaison de `aws:SourceArn` conditions (`aws:SourceAccount`les deux ou une seule). `aws:SourceAccount`est l'identifiant de AWS compte du propriétaire d'une zone hébergée. `aws:SourceArn`est l'ARN d'une zone hébergée.
Voici deux exemples d'autorisations que vous pouvez ajouter :
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/HOSTED_ZONE_ID"
}
}
},
```
- Ou -
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["1111-2222-3333","4444-5555-6666"]
},
"ArnLike": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/*"
}
}
},
```
Pour de plus amples informations, veuillez consulter [Le problème du député confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) dans le *Guide de l’utilisateur IAM*.
## Exemples de politiques gérées par le client
Vous pouvez créer vos propres stratégies IAM personnalisées pour accorder des autorisations pour des actions Route 53. Vous pouvez attacher ces politiques personnalisées aux groupes IAM qui nécessitent les autorisations spécifiées. Ces politiques fonctionnent lorsque vous utilisez l'API Route 53 AWS SDKs, la ou la AWS CLI. Les exemples suivants présentent des autorisations pour plusieurs cas d'utilisation courants. Pour accéder à la stratégie qui accorde à un utilisateur l'accès complet à Route 53, consultez [Autorisations requises pour utiliser la console Amazon Route 53](#console-required-permissions).
**Topics**
+ [Exemple 1 : Autoriser l'accès en lecture à toutes les zones hébergées](#access-policy-example-allow-read-hosted-zones)
+ [Exemple 2 : Autoriser la création et la suppression de zones hébergées](#access-policy-example-allow-create-delete-hosted-zones)
+ [Exemple 3 : Autoriser l'accès complet à tous les domaines (zones hébergées publiques uniquement)](#access-policy-example-allow-full-domain-access)
+ [Exemple 4 : Autoriser la création de points de terminaison du résolveur VPC Route 53 entrants et sortants](#access-policy-example-create-resolver-endpoints)
### Exemple 1 : Autoriser l'accès en lecture à toutes les zones hébergées
La stratégie d'autorisation suivante accorde à l'utilisateur l'autorisation de répertorier toutes les zones hébergées et d'afficher tous les enregistrements d'une zone hébergée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:GetHostedZone",
"route53:ListResourceRecordSets"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:ListHostedZones"],
"Resource":"*"
}
]
}
```
------
### Exemple 2 : Autoriser la création et la suppression de zones hébergées
La stratégie d'autorisation suivante accorde aux utilisateurs l'autorisation de créer et de supprimer des zones hébergées, et de suivre l'avancement des modifications.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["route53:CreateHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:DeleteHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:GetChange"],
"Resource":"*"
}
]
}
```
------
### Exemple 3 : Autoriser l'accès complet à tous les domaines (zones hébergées publiques uniquement)
La stratégie d'autorisation suivante accorde aux utilisateurs l'autorisation d'exécuter toutes les actions sur les enregistrements de domaines, y compris l'enregistrement de domaines et la création de zones hébergées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53domains:*",
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
Lorsque vous enregistrez un domaine, une zone hébergée est créée simultanément. Une stratégie qui inclut l'autorisation d'enregistrer des domaines doit donc également inclure l'autorisation de créer des zones hébergées. (Pour l'enregistrement de domaine, Route 53 ne prend pas en charge l'octroi d'autorisations à des ressources individuelles.)
Pour plus d'informations sur les autorisations requises pour utiliser des zones hébergées privées, consultez [Autorisations requises pour utiliser la console Amazon Route 53](#console-required-permissions).
### Exemple 4 : Autoriser la création de points de terminaison du résolveur VPC Route 53 entrants et sortants
La stratégie d'autorisations suivante permet aux utilisateurs d'utiliser la console Route 53 pour créer des points de terminaison Resolver entrants et sortants.
Certaines de ces autorisations sont nécessaires uniquement pour créer des points de terminaison dans la console. Vous pouvez omettre ces autorisations si vous souhaitez accorder des autorisations uniquement pour créer des points de terminaison entrants et sortants par programmation :
+ `route53resolver:ListResolverEndpoints` permet aux utilisateurs de voir la liste des points de terminaison entrants ou sortants afin qu'ils puissent vérifier qu'un point de terminaison a été créé.
+ `DescribeAvailabilityZones` est nécessaire pour afficher la liste des zones de disponibilité.
+ `DescribeVpcs`est nécessaire pour afficher une liste deVPCs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53resolver:CreateResolverEndpoint",
"route53resolver:ListResolverEndpoints",
"ec2:CreateNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# Utilisation de rôles liés à un service pour Amazon Route 53 Resolver
[Route 53 VPC Resolver utilise des rôles liés à un service Gestion des identités et des accès AWS (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à VPC Resolver. Les rôles liés aux services sont prédéfinis par VPC Resolver et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration de VPC Resolver, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. VPC Resolver définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul VPC Resolver peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources connexes. Cela protège les ressources de votre résolveur VPC, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, veuillez consulter la section [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Yes (Oui)** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
**Topics**
+ [Autorisations de rôle liées à un service pour VPC Resolver](#slr-permissions)
+ [Création d'un rôle lié à un service pour VPC Resolver](#create-slr)
+ [Modification d'un rôle lié à un service pour VPC Resolver](#edit-slr)
+ [Suppression d'un rôle lié à un service pour VPC Resolver](#delete-slr)
+ [Régions prises en charge pour les rôles liés au service VPC Resolver](#slr-regions)
## Autorisations de rôle liées à un service pour VPC Resolver
VPC Resolver utilise le rôle **`AWSServiceRoleForRoute53Resolver`**lié au service pour fournir des journaux de requêtes en votre nom.
La politique d'autorisation des rôles permet à VPC Resolver d'effectuer les actions suivantes sur vos ressources :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups",
"s3:GetBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour VPC Resolver
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une association de configuration du journal des requêtes du résolveur dans la console Amazon Route 53, dans l'API ou dans l' AWS API AWS CLI, VPC Resolver crée le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. En outre, si vous utilisiez le service VPC Resolver avant le 12 août 2020, date à laquelle il a commencé à prendre en charge les rôles liés au service, VPC Resolver a créé le rôle dans votre compte. `AWSServiceRoleForRoute53Resolver` Pour plus d'informations, consultez [A New Role Appeared in My IAM Account](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) (Un nouveau rôle est apparu dans mon compte IAM).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une association de configuration de journalisation des requêtes de Resolver, le rôle lié à un service `AWSServiceRoleForRoute53Resolver` est recréé pour vous.
## Modification d'un rôle lié à un service pour VPC Resolver
VPC Resolver ne vous permet pas de modifier le `AWSServiceRoleForRoute53Resolver` rôle lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression d'un rôle lié à un service pour VPC Resolver
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service VPC Resolver utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources du résolveur VPC utilisées par `AWSServiceRoleForRoute53Resolver`**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Développez le menu de la console Route 53. Dans le coin supérieur gauche de la console, sélectionnez l'icone des trois barres horizontales (![\[Menu icon\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/images/menu-icon.png)
1. Dans le menu **Resolver**, choisissez **Query logging (Journalisation des requêtes)**.
1. Cochez la case en regard du nom de votre configuration de journalisation des requêtes, puis choisissez **Delete (Supprimer)**.
1. Dans la zone de texte **Delete query logging configuration (Supprimer la configuration de journalisation des requêtes)**, sélectionnez **Stop logging queries** (Arrêter les requêtes de journalisation).
Cela va dissocier la configuration du VPC. Vous pouvez également dissocier la configuration de journalisation des requêtes par programme. Pour plus d'informations, consultez [disassociate-resolver-query-log-config](https://docs.aws.amazon.com//cli/latest/reference/route53resolver/disassociate-resolver-query-log-config.html).
1. Une fois les requêtes de journalisation arrêtées, vous pouvez éventuellement taper **delete** dans le champ et choisir **Delete (Supprimer)** pour supprimer la configuration de journalisation des requêtes. Toutefois, cela n'est pas nécessaire pour supprimer les ressources utilisées par `AWSServiceRoleForRoute53Resolver`.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForRoute53Resolver` service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles liés au service VPC Resolver
VPC Resolver ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le rôle `AWSServiceRoleForRoute53Resolver` dans les régions suivantes :
****
| Nom de la région | Identité de la région | Support dans VPC Resolver |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| Chine (Pékin) | cn-north-1 | Oui |
| Chine (Ningxia) | cn-northwest-1 | Oui |
| AWS GovCloud (US) | us-gov-east-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Oui |
# AWS politiques gérées pour Amazon Route 53
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AmazonRoute 53 FullAccess
Vous pouvez associer la politique `AmazonRoute53FullAccess` à vos identités IAM.
Cette politique accorde un accès complet aux ressources de Route 53, y compris l'enregistrement du domaine et le contrôle de santé, mais exclut VPC Resolver.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `route53:*` – Permet d'exécuter toutes les actions Route 53, *sauf* les actions suivantes :
+ Créez et mettez à jour des enregistrements d'alias pour lesquels la valeur d'**Alias Target** est une CloudFront distribution, un équilibreur de charge Elastic Load Balancing, un environnement Elastic Beanstalk ou un bucket Amazon S3. (Avec ces autorisations, vous pouvez créer des enregistrements d'alias pour lesquels la valeur de **Alias Target** est un autre enregistrement dans la même zone hébergée.)
+ Utiliser des zones hébergées privées.
+ Utiliser des domaines.
+ Créez, supprimez et visualisez les CloudWatch alarmes.
+ Afficher CloudWatch les métriques dans la console Route 53.
+ `route53domains:*` – Permet d'utiliser des domaines.
+ `cloudfront:ListDistributions`— Vous permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur d'**Alias Target** est une CloudFront distribution.
Cette autorisation n'est pas nécessaire si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir une liste des distributions à afficher dans la console.
+ `cloudfront:GetDistributionTenantByDomain`— Utilisé pour récupérer les distributions CloudFront multi-locataires afin de vous permettre de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur d'**Alias Target** est un tenant de CloudFront distribution.
+ `cloudfront:GetConnectionGroup`— Utilisé pour récupérer les distributions CloudFront multi-locataires afin de vous permettre de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur d'**Alias Target** est un tenant de CloudFront distribution.
+ `cloudwatch:DescribeAlarms`— Associé à `sns:ListTopics` et`sns:ListSubscriptionsByTopic`, vous permet de créer, de supprimer et de visualiser des CloudWatch alarmes.
+ `cloudwatch:GetMetricStatistics`— Vous permet de créer des CloudWatch bilans de santé métriques.
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir des statistiques à afficher dans la console.
+ `cloudwatch:GetMetricData`— Vous permet d'afficher l'état de vos indicateurs de CloudWatch santé.
+ `ec2:DescribeVpcs`— Permet d'afficher une liste de VPCs.
+ `ec2:DescribeVpcEndpoints` – Permet d'afficher une liste de points de terminaison d'un VPC.
+ `ec2:DescribeRegions` – Permet d'afficher une liste des zones de disponibilité.
+ `elasticloadbalancing:DescribeLoadBalancers` – Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur de **Alias Target (Cible de l'alias)** est un équilibreur de charge Elastic Load Balancing.
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir une liste des équilibreurs de charge à afficher dans la console.
+ `elasticbeanstalk:DescribeEnvironments` – Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur de **Alias Target (Cible de l'alias)** est un environnement Elastic Beanstalk.
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 l'utilise uniquement pour obtenir une liste des environnements à afficher dans la console.
+ `es:ListDomainNames`— Vous permet d'afficher les noms de tous les domaines Amazon OpenSearch Service détenus par l'utilisateur actuel dans la région active.
+ `es:DescribeDomains`— Vous permet d'obtenir la configuration des domaines Amazon OpenSearch Service spécifiés.
+ `lightsail:GetContainerServices`— Vous permet d'utiliser les services de conteneur Lightsail pour créer et mettre à jour des enregistrements d'alias pour lesquels la valeur **d'**Alias Target est un domaine Lightsail.
+ `s3:ListBucket`, `s3:GetBucketLocation` et `s3:GetBucketWebsite` – Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur de **Alias Target (Cible de l'alias)** est un compartiment Amazon S3. (Vous pouvez créer un alias dans un compartiment Amazon S3 uniquement si le compartiment est configuré en tant que point de terminaison de site web ; `s3:GetBucketWebsite` obtient les informations de configuration nécessaires.)
Ces autorisations ne sont pas nécessaires si vous n'utilisez pas la console Route 53. Route 53 les utilise uniquement pour obtenir une liste des compartiments à afficher dans la console.
+ `sns:ListTopics`,`sns:ListSubscriptionsByTopic`, `cloudwatch:DescribeAlarms` — Vous permet de créer, de supprimer et d'afficher des CloudWatch alarmes.
+ `tag:GetResources`— Vous permet d'afficher les tags de vos ressources. Par exemple, les noms de vos bilans de santé.
+ `apigateway:GET` – Permet de créer et de mettre à jour des enregistrements d'alias pour lesquels la valeur **Alias Target (Cible de l'alias)** est une API Amazon API Gateway.
Pour plus d'informations sur les autorisations, consultez[Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS politique gérée : AmazonRoute 53 ReadOnlyAccess
Vous pouvez associer la politique `AmazonRoute53ReadOnlyAccess` à vos identités IAM.
Cette politique accorde un accès en lecture seule aux ressources Route 53, y compris l'enregistrement du domaine et le contrôle de santé, mais exclut VPC Resolver.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `route53:Get*` – Récupère les ressources Route 53.
+ `route53:List*` – Récupère les ressources Route 53.
+ `route53:TestDNSAnswer` – Retourne la valeur que Route 53 renvoie en réponse à une requête DNS.
Pour plus d'informations sur les autorisations, consultez[Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS politique gérée : AmazonRoute 53 DomainsFullAccess
Vous pouvez associer la politique `AmazonRoute53DomainsFullAccess` à vos identités IAM.
Cette stratégie accorde un accès complet aux ressources d'enregistrement de domaine Route 53.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `route53:CreateHostedZone` – Permet de créer une zone hébergée Route 53.
+ `route53domains:*` – Permet d'enregistrer des noms de domaine et d'effectuer des opérations associées.
Pour plus d'informations sur les autorisations, consultez[Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS politique gérée : AmazonRoute 53 DomainsReadOnlyAccess
Vous pouvez associer la politique `AmazonRoute53DomainsReadOnlyAccess` à vos identités IAM.
Cette stratégie accorde à l'accès en lecture seule aux ressources d'enregistrement de domaine Route 53.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `route53domains:Get*` – Permet de récupérer une liste de domaines à partir de Route 53.
+ `route53domains:List*` – Permet d'afficher une liste de domaines Route 53.
Pour plus d'informations sur les autorisations, consultez[Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS politique gérée : AmazonRoute 53 ResolverFullAccess
Vous pouvez associer la politique `AmazonRoute53ResolverFullAccess` à vos identités IAM.
Cette politique accorde un accès complet aux ressources du résolveur VPC Route 53.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `route53resolver:*`— Vous permet de créer et de gérer les ressources du résolveur VPC sur la console Route 53.
+ `ec2:DescribeSubnets` – Permet de répertorier vos sous-réseaux Amazon VPC.
+ `ec2:CreateNetworkInterface`,`ec2:DeleteNetworkInterface`, et `ec2:ModifyNetworkInterfaceAttribute` – Permet de créer, modifier et supprimer des interfaces réseau.
+ `ec2:DescribeNetworkInterfaces` – Permet d'afficher une liste d'interfaces réseau.
+ `ec2:DescribeSecurityGroups` – Permet d'afficher une liste de tous vos groupes de sécurité.
+ `ec2:DescribeVpcs`— Permet d'afficher une liste de VPCs.
+ `ec2:DescribeAvailabilityZones` – Permet d'afficher la liste des zones qui sont disponibles pour vous.
Pour plus d'informations sur les autorisations, consultez[Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS politique gérée : AmazonRoute 53 ResolverReadOnlyAccess
Vous pouvez associer la politique `AmazonRoute53ResolverReadOnlyAccess` à vos identités IAM.
Cette politique accorde un accès en lecture seule aux ressources du résolveur VPC Route 53.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `route53resolver:Get*`— Récupère les ressources du résolveur VPC.
+ `route53resolver:List*`— Permet d'afficher une liste des ressources du résolveur VPC.
+ `ec2:DescribeNetworkInterfaces` – Permet d'afficher une liste d'interfaces réseau.
+ `ec2:DescribeSecurityGroups` – Permet d'afficher une liste de tous vos groupes de sécurité.
Pour plus d'informations sur les autorisations, consultez[Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS politique gérée : Route53 ResolverServiceRolePolicy
Vous ne pouvez pas joindre de `Route53ResolverServiceRolePolicy` à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet au résolveur VPC Route 53 d'accéder aux AWS services et aux ressources utilisés ou gérés par le résolveur VPC. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Amazon Route 53 Resolver](using-service-linked-roles.md).
## AWS politique gérée : AmazonRoute 53 ProfilesFullAccess
Vous pouvez associer la politique `AmazonRoute53ProfilesReadOnlyAccess` à vos identités IAM.
Cette politique accorde un accès complet aux ressources du profil Amazon Route 53.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `route53profiles`— Vous permet de créer et de gérer des ressources de profil sur la console Route 53.
+ `ec2`— Permet aux directeurs d'obtenir des informations sur VPCs.
Pour plus d'informations sur les autorisations, consultez[Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS politique gérée : AmazonRoute 53 ProfilesReadOnlyAccess
Vous pouvez associer la politique `AmazonRoute53ProfilesReadOnlyAccess` à vos identités IAM.
Cette politique accorde un accès en lecture seule aux ressources du profil Amazon Route 53.
**Détails de l’autorisation**
Pour plus d'informations sur les autorisations, consultez[Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions](r53-api-permissions-ref.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## Mises à jour de Route 53 vers les politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées pour Route 53 depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS de la page [Historique du document](History.md) de Route 53.
| Modifier | Description | Date |
| --- | --- | --- |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — Politique mise à jour | Ajoute des autorisations pour `cloudwatch:GetMetricData``tag:GetResources`,`es:ListDomainNames`,`es:DescribeDomains`,`cloudfront:GetDistributionTenantByDomain`, `cloudfront:GetConnectionGroup` et`lightsail:GetContainerServices`. Ces autorisations vous permettent de récupérer jusqu'à 500 indicateurs de CloudWatch santé, jusqu'à 100 noms de bilans de santé, d'obtenir la configuration du domaine pour les domaines Amazon OpenSearch Service spécifiés et de répertorier les noms de tous les domaines Amazon OpenSearch Service détenus par l'utilisateur actuel dans la région active, de récupérer les distributions CloudFront multi-locataires et d'obtenir les services de conteneur Lightsail. | 01 juin 2025 |
| [AmazonRoute53 ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) — Politique mise à jour | Ajoute des autorisations pour `GetProfilePolicy` et`PutProfilePolicy`. Il s’agit d’actions IAM avec autorisation uniquement. Si ces autorisations ne sont pas accordées à un principal IAM, une erreur se produira lors de la tentative de partage du profil à l'aide du AWS RAM service. | 27 août 2024 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — Politique mise à jour | Ajoute des autorisations pour`GetProfilePolicy`. Il s'agit d'une action IAM avec autorisation uniquement. Si cette autorisation n'est pas accordée à un principal IAM, une erreur se produira lors de la tentative d'accès à la politique du profil à l'aide du AWS RAM service. | 27 août 2024 |
| [AmazonRoute53 ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) — Politique mise à jour | Ajout d'un identifiant de déclaration (Sid) pour identifier de manière unique la politique. | 5 août 2024 |
| [AmazonRoute53 ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) — Politique mise à jour | Ajout d'un identifiant de déclaration (Sid) pour identifier de manière unique la politique. | 5 août 2024 |
| [AmazonRoute53 ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) — Nouvelle politique | Amazon Route 53 a ajouté une nouvelle politique permettant un accès complet aux ressources du profil Amazon Route 53. | 22 avril 2024 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — Nouvelle politique | Amazon Route 53 a ajouté une nouvelle politique permettant l'accès en lecture seule aux ressources du profil Amazon Route 53. | 22 avril 2024 |
| [Route53 ResolverServiceRolePolicy — Nouvelle](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) politique | Amazon Route 53 a ajouté une nouvelle politique associée à un rôle lié à un service qui permet à VPC Resolver d'accéder aux AWS services et aux ressources utilisés ou gérés par Resolver. | 14 juillet 2021 |
| [AmazonRoute53 ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) — Nouvelle politique | Amazon Route 53 a ajouté une nouvelle politique pour autoriser l'accès en lecture seule aux ressources du résolveur VPC. | 14 juillet 2021 |
| [AmazonRoute53 ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) — Nouvelle politique | Amazon Route 53 a ajouté une nouvelle politique permettant un accès complet aux ressources du résolveur VPC. | 14 juillet 2021 |
| [AmazonRoute53 DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) — Nouvelle politique | Amazon Route 53 a ajouté une nouvelle politique pour autoriser l'accès en lecture seule aux ressources des domaines Route 53. | 14 juillet 2021 |
| [AmazonRoute53 DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) — Nouvelle politique | Amazon Route 53 a ajouté une nouvelle politique permettant un accès complet aux ressources des domaines Route 53. | 14 juillet 2021 |
| [AmazonRoute53 ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) — Nouvelle politique | Amazon Route 53 a ajouté une nouvelle politique pour autoriser l'accès en lecture seule aux ressources Route 53. | 14 juillet 2021 |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — Nouvelle politique | Amazon Route 53 a ajouté une nouvelle politique permettant un accès complet aux ressources de Route 53. | 14 juillet 2021 |
| Route 53 a commencé à suivre les modifications | Route 53 a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 14 juillet 2021 |
# Utilisation de conditions de politique IAM pour un contrôle d’accès précis
Dans Route 53, vous pouvez spécifier des conditions lors de l'octroi d'autorisations à l'aide d'une politique IAM (consultez [Contrôle d’accès](security-iam.md#access-control)). Par exemple, vous pouvez effectuer les actions suivantes :
+ Accorder des autorisations pour autoriser l'accès à un ensemble d'enregistrements de ressources unique
+ Accordez des autorisations pour permettre aux utilisateurs d'accéder à tous les ensembles d'enregistrements de ressources d'un type d'enregistrement DNS spécifique dans une zone hébergée, par exemple les enregistrements A et AAAA.
+ Accordez des autorisations pour permettre aux utilisateurs d'accéder à un ensemble d'enregistrements de ressources dont le nom contient une chaîne spécifique.
+ Accordez des autorisations pour permettre aux utilisateurs d'effectuer uniquement un sous-ensemble des `CREATE | UPSERT | DELETE` actions sur la console Route 53 ou lorsqu'ils utilisent l'[ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html)API.
+ Accordez des autorisations pour permettre aux utilisateurs d'associer ou de dissocier des zones hébergées privées d'un VPC spécifique.
+ Accordez des autorisations pour permettre aux utilisateurs de répertorier les zones hébergées associées à un VPC spécifique.
+ Accordez des autorisations permettant aux utilisateurs d'accéder à la création d'une nouvelle zone hébergée privée et de l'associer à un VPC spécifique.
+ Accordez des autorisations pour permettre aux utilisateurs de créer ou de supprimer une autorisation d'association VPC.
Vous pouvez également créer des autorisations qui combinent n'importe laquelle des autorisations granulaires.
## Normalisation des valeurs clés de la condition Route 53
Les valeurs que vous saisissez pour les conditions de politique doivent être formatées, ou normalisées, comme suit :
**Pour `route53:ChangeResourceRecordSetsNormalizedRecordNames` :**
+ Toutes les lettres doivent être en minuscules.
+ le nom DNS ne doit pas contenir de point arrière.
+ Les caractères autres que a à z, 0 à 9, - (tiret), \$1 (trait de soulignement) et . (point, comme délimiteur entre les étiquettes) doivent utiliser des codes d'échappement au format \$1code octal à trois chiffres. Par exemple,`\052 ` est le code octal du caractère \$1.
**Pour `route53:ChangeResourceRecordSetsActions`, la valeur peut être l'une valeurs des suivantes et doit être en majuscules :**
+ CREATE
+ UPSERT
+ DELETE
**Pour `route53:ChangeResourceRecordSetsRecordTypes`** :
+ La valeur doit être en majuscules et peut être n'importe quel type d'enregistrement DNS pris en charge par Route 53. Pour de plus amples informations, veuillez consulter [Types d'enregistrements DNS pris en charge](ResourceRecordTypes.md).
**Pour `route53:VPCs` :**
+ La valeur doit être au format de`VPCId=,VPCRegion=`.
+ La valeur de `` et `` doit être en minuscules, par exemple et. `VPCId=vpc-123abc` `VPCRegion=us-east-1`
+ Les clés de contexte et les valeurs distinguent les majuscules et minuscules.
**Important**
Pour obtenir l'autorisation d'autoriser ou de restreindre les actions que vous souhaitez, vous devez suivre ces conventions. Seuls `VPCId` les `VPCRegion` éléments sont acceptés par cette clé de condition, les autres AWS ressources, telles que Compte AWS, ne sont pas prises en charge.
Vous pouvez utiliser le plugin [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) ou [Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) dans le *Guide de l'utilisateur IAM* pour vérifier que votre politique accorde ou restreint les autorisations comme prévu. Vous pouvez également valider les autorisations en appliquant une politique IAM à un utilisateur ou à un rôle de test pour effectuer des opérations Route 53.
## Spécification de conditions : utilisation de clés de condition
AWS fournit un ensemble de clés de condition prédéfinies (clés AWS de condition étendues) pour tous les AWS services qui prennent en charge le contrôle d'accès IAM. Par exemple, vous pouvez utiliser la clé de condition `aws:SourceIp` pour vérifier l’adresse IP du demandeur avant de permettre l’exécution d’une action. Pour plus d'informations et la liste des clés à l'échelle d' AWS, consultez [Clés disponibles pour les conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *Guide de l'utilisateur IAM*.
**Note**
Route 53 ne prend pas en charge les clés de condition basées sur des balises.
Le tableau suivant indique les clés de condition spécifiques au service Route 53 qui s'appliquent à Route 53.
****
| Clé de condition Route 53 | opérations d’API | Type de la valeur | Description |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multi-valeurs | Représente une liste de noms d'enregistrements DNS dans la demande deChangeResourceRecordSets. Pour obtenir le comportement attendu, les noms DNS de la politique IAM doivent être normalisés comme suit : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multi-valeurs | Représente une liste de types d'enregistrements DNS dans la demande de `ChangeResourceRecordSets`. `ChangeResourceRecordSetsRecordTypes` peut être n'importe quel type d'enregistrement DNS pris en charge par Route 53. Pour de plus amples informations, veuillez consulter [Types d'enregistrements DNS pris en charge](ResourceRecordTypes.md). Tout doit être saisi en majuscules dans la politique. |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | Multi-valeurs | Représente une liste des actions de la demande de `ChangeResourceRecordSets`. `ChangeResourceRecordSetsActions` peut être n'importe laquelle des valeurs suivantes (doit être en majuscule) : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [Associé VPCWith HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [Dissocier VPCFrom HostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [Créer une VPCAssociation autorisation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [Supprimer VPCAssociation l'autorisation](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | Multi-valeurs | Représente une liste de VPCs dans la demande de AssociateVPCWithHostedZoneDisassociateVPCFromHostedZone, ListHostedZonesByVPCCreateHostedZone,CreateVPCAssociationAuthorization,,DeleteVPCAssociationAuthorization, et, au format "VPCId=, VPCRegion = |
## Exemples de politiques : utilisation de conditions pour un accès précis
Chacun des exemples de cette section définit la clause Effect sur Allow et spécifie uniquement les actions, ressources et paramètres autorisés. L’accès est autorisé uniquement à ce qui est explicitement indiqué dans la politique IAM.
Dans certains cas, il est possible de réécrire ces politiques afin qu'elles soient basées sur le refus (autrement dit, définition de la clause Effect sur Deny et inversion de toute la logique de la politique). Cependant, nous vous recommandons d'éviter d'utiliser les politiques basées sur le refus, car elles sont difficiles à écrire correctement, par comparaison avec les stratégies basées sur l'autorisation. Cela est particulièrement vrai pour Route 53 en raison de la normalisation du texte requise.
**Accorder des autorisations limitant l'accès aux enregistrements DNS avec des noms spécifiques**
La politique d'autorisations suivante accorde les autorisations qui autorise les actions `ChangeResourceRecordSets` sur la zone hébergée Z12345 pour example.com et marketing.example.com. Elle utilise la clé de condition `route53:ChangeResourceRecordSetsNormalizedRecordNames` pour limiter les actions de l'utilisateur uniquement sur les enregistrements correspondant aux noms spécifiés.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` est un opérateur de condition IAM qui s'applique aux clés à valeurs multiples. La condition dans la politique ci-dessus n'autorisera l'opération que lorsque tous les changements dans `ChangeResourceRecordSets` auront le nom DNS example.com. Pour plus d'informations, consultez [Opérateurs de condition IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) et[Condition IAM avec plusieurs clés ou valeurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) dans le Guide de l'utilisateur IAM.
Pour implémenter l'autorisation qui fait correspondre les noms avec certains suffixes, vous pouvez utiliser le caractère générique IAM (\$1) dans la politique avec l'opérateur de condition `StringLike` ou `StringNotLike`. La politique suivante autorisera l'opération lorsque toutes les changements dans l'opération `ChangeResourceRecordSets` auront des noms DNS qui se terminent par « -beta.example.com ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**Note**
Le caractère générique IAM n'est pas identique au caractère générique du nom de domaine. Consultez l'exemple suivant pour savoir comment utiliser le caractère générique avec un nom de domaine.
**Accorder des autorisations limitant l'accès aux enregistrements DNS correspondant à un nom de domaine contenant un caractère générique**
La politique d'autorisations suivante accorde les autorisations qui autorise les actions `ChangeResourceRecordSets` sur la zone hébergée Z12345 pour example.com. Elle utilise la clé de condition `route53:ChangeResourceRecordSetsNormalizedRecordNames` pour limiter les actions de l'utilisateur uniquement aux enregistrements correspondant à \$1.example.com.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` est le code octal du caractère \$1 dans le nom DNS, et `\` dans `\052` est échappé pour être `\\` afin de suivre la syntaxe JSON.
**Accorder des autorisations limitant l'accès à des enregistrements DNS spécifiques**
La politique d'autorisations suivante accorde les autorisations qui autorise les actions `ChangeResourceRecordSets` sur la zone hébergée Z12345 pour example.com. Elle utilise la combinaison de trois clés de condition pour limiter les actions des utilisateurs afin de permettre uniquement la création ou la modification d'enregistrements DNS avec un nom et un type de DNS spécifiques.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**Accorder des autorisations limitant l'accès à la création et la modification uniquement de types d'enregistrements DNS spécifiques**
La politique d'autorisations suivante accorde les autorisations qui autorise les actions `ChangeResourceRecordSets` sur la zone hébergée Z12345 pour example.com. Elle utilise la clé de condition `route53:ChangeResourceRecordSetsRecordTypes` pour limiter les actions de l'utilisateur uniquement sur les enregistrements correspondant aux types spécifiés (A et AAAA).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**Accordez des autorisations qui spécifient le VPC dans lequel le principal IAM peut opérer**
La politique d'autorisation suivante accorde des autorisations qui autorisent`AssociateVPCWithHostedZone`,`DisassociateVPCFromHostedZone`,`ListHostedZonesByVPC`, `CreateHostedZone``CreateVPCAssociationAuthorization`, et `DeleteVPCAssociationAuthorization` les actions sur le VPC spécifié par le vpc-id.
**Important**
La valeur de la condition doit être au format de`VPCId=,VPCRegion=`. Si vous spécifiez un ARN VPC dans la valeur de la condition, la clé de condition ne prendra pas effet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
# Autorisations d'API Amazon Route 53 : référence des actions, ressources et conditions
*Lorsque vous configurez [Contrôle d’accès](security-iam.md#access-control) et rédigez une politique d'autorisation que vous pouvez associer à une identité IAM (politiques basées sur l'identité), vous pouvez utiliser les listes d'[actions, de ressources et de clés de condition pour Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)[, d'actions, de ressources et de clés de condition pour les domaines Route 53](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53domains.html)[, d'actions, de ressources](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html) et de [clés de condition pour les profils Amazon Route 53 pour partager les paramètres DNS dans la référence d' VPCs](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53profilesenablessharingdnssettingswithvpcs.html)autorisation de service.* Les pages incluent chaque action de l'API Amazon Route 53, les actions auxquelles vous devez accorder des autorisations d'accès et la AWS ressource à laquelle vous devez accorder l'accès. Vous spécifiez les actions dans le champ `Action` de la politique ainsi que la valeur des ressources dans le champ `Resource` de la politique.
Vous pouvez utiliser des AWS touches de condition larges dans vos politiques Route 53 pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
**Note**
Lors de l'autorisation d'accès, la zone hébergée et Amazon VPC doivent appartenir à la même partition. Une partition est un groupe de Régions AWS. Chacune Compte AWS est limitée à une partition.
Les partitions prises en charge sont les suivantes :
`aws` - Régions AWS
`aws-cn` - Régions chinoises
`aws-us-gov` - AWS GovCloud (US) Region
Pour plus d'informations, consultez [Gestion d'accès](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le document *AWS Référence générale*.
**Note**
Pour indiquer une action, utilisez le préfixe applicable (`route53`, `route53domains` ou `route53resolver`) suivi du nom de l'opération d'API, par exemple :
`route53:CreateHostedZone`
`route53domains:RegisterDomain`
`route53resolver:CreateResolverEndpoint`