本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 亚马逊 Route 53 的托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AmazonRoute53 FullAccess
您可以将 `AmazonRoute53FullAccess` 策略附加到 IAM 身份。
此策略授予对 Route 53 资源的完全访问权限,包括域名注册和运行状况检查,但不包括 VPC 解析器。
**权限详细信息**
该策略包含以下权限。
+ `route53:*` - 您可以执行*除以下操作之外*的所有 Route 53 操作:
+ 创建和更新 Alias Targe **t 的值为 CloudFront 分配、Elastic Load Balancing 负载均衡器、Elastic Beanstalk 环境或 Amazon S3 存储桶的别名**记录。(通过这些权限,您可以创建其**别名目标**值为同一托管区域中的另一个记录的别名记录。)
+ 使用私有托管区域。
+ 使用域。
+ 创建、删除和查看 CloudWatch 警报。
+ 在 Route 53 控制台中呈现 CloudWatch 指标。
+ `route53domains:*` - 可让您使用域。
+ `cloudfront:ListDistributions`— 允许您创建和更新以 Alias Targe **t 的值为 CloudFront分布的别名**记录。
如果您未使用 Route 53 控制台,则不需要此权限。Route 53 仅用它来获取要在控制台中显示的分配的列表。
+ `cloudfront:GetDistributionTenantByDomain`— 用于获取 CloudFront 多租户分配,允许您创建和更新 Alias Targe **t 的值为 CloudFront 分配租户的别名**记录。
+ `cloudfront:GetConnectionGroup`— 用于获取 CloudFront 多租户分配,允许您创建和更新 Alias Targe **t 的值为 CloudFront 分配租户的别名**记录。
+ `cloudwatch:DescribeAlarms`— 与`sns:ListTopics`和`sns:ListSubscriptionsByTopic`一起允许您创建、删除和查看 CloudWatch 警报。
+ `cloudwatch:GetMetricStatistics`— 允许您创建 CloudWatch指标运行状况检查。
如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的统计数据。
+ `cloudwatch:GetMetricData`— 允许您显示 CloudWatch 运行状况检查指标的状态。
+ `ec2:DescribeVpcs`— 允许您显示列表 VPCs。
+ `ec2:DescribeVpcEndpoints` - 可让您显示 VPC 终端节点列表。
+ `ec2:DescribeRegions` - 可让您显示可用区列表。
+ `elasticloadbalancing:DescribeLoadBalancers` - 可让您创建和更新 **Alias Target(别名目标)**值为 Elastic Load Balancing 负载均衡器的别名记录。
如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的负载均衡器的列表。
+ `elasticbeanstalk:DescribeEnvironments` - 可让您创建和更新 **Alias Target(别名目标)**值为 Elastic Beanstalk 环境的别名记录。
如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的环境的列表。
+ `es:ListDomainNames`— 允许您显示当前用户在活跃地区拥有的所有 Amazon Ser OpenSearch vice 域名的名称。
+ `es:DescribeDomains`— 允许您获取指定 Amazon OpenSearch 服务域的域配置。
+ `lightsail:GetContainerServices`— 允许你使用 Lightsail 容器服务来创建和更新 Alias T **arget 的值为 Lightsail 域的别名**记录。
+ `s3:ListBucket`、`s3:GetBucketLocation` 和 `s3:GetBucketWebsite` - 可让您创建和更新 **Alias Target(别名目标)**值为 Amazon S3 存储桶的别名记录。(只有将存储桶配置为网站终端节点时,才可以创建 Amazon S3 存储桶的别名;`s3:GetBucketWebsite` 用于获取所需的配置信息。)
如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用这些权限来获取要在控制台中显示的存储桶的列表。
+ `sns:ListTopics`,`sns:ListSubscriptionsByTopic`, `cloudwatch:DescribeAlarms` — 允许您创建、删除和查看 CloudWatch 警报。
+ `tag:GetResources` - 可让您在资源中显示标签。例如,您的运行状况检查的名称。
+ `apigateway:GET` - 可让您创建和更新 **Alias Target(别名目标)**值为 Amazon API Gateway API 的别名记录。
有关权限的更多信息,请参阅 [Amazon Route 53 API 权限:操作、资源和条件参考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS 托管策略: AmazonRoute53 ReadOnlyAccess
您可以将 `AmazonRoute53ReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予对 Route 53 资源的只读访问权限,包括域注册和运行状况检查,但不包括 VPC 解析器。
**权限详细信息**
该策略包含以下权限。
+ `route53:Get*` - 获取 Route 53 资源。
+ `route53:List*` – 列出 Route 53 资源。
+ `route53:TestDNSAnswer` - 获取 Route 53 为响应 DNS 请求而返回的值。
有关权限的更多信息,请参阅 [Amazon Route 53 API 权限:操作、资源和条件参考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 托管策略: AmazonRoute53 DomainsFullAccess
您可以将 `AmazonRoute53DomainsFullAccess` 策略附加到 IAM 身份。
此策略授予对 Route 53 域注册资源的完全访问权限。
**权限详细信息**
该策略包含以下权限。
+ `route53:CreateHostedZone` - 可让您创建 Route 53 托管区域。
+ `route53domains:*` - 可让您注册域名并执行相关操作。
有关权限的更多信息,请参阅 [Amazon Route 53 API 权限:操作、资源和条件参考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 托管策略: AmazonRoute53 DomainsReadOnlyAccess
您可以将 `AmazonRoute53DomainsReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予对 Route 53 域注册资源的只读访问权限。
**权限详细信息**
该策略包含以下权限。
+ `route53domains:Get*` - 可让您从 Route 53 中检索域列表。
+ `route53domains:List*` - 可让您显示 Route 53 域的列表。
有关权限的更多信息,请参阅 [Amazon Route 53 API 权限:操作、资源和条件参考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 托管策略: AmazonRoute53 ResolverFullAccess
您可以将 `AmazonRoute53ResolverFullAccess` 策略附加到 IAM 身份。
此策略授予对 Route 53 VPC 解析器资源的完全访问权限。
**权限详细信息**
该策略包含以下权限。
+ `route53resolver:*`— 允许您在 Route 53 控制台上创建和管理 VPC 解析器资源。
+ `ec2:DescribeSubnets` - 可让您列出 Amazon VPC 子网。
+ `ec2:CreateNetworkInterface`、`ec2:DeleteNetworkInterface` 和 `ec2:ModifyNetworkInterfaceAttribute` - 可让您创建、修改和删除网络接口。
+ `ec2:DescribeNetworkInterfaces` - 可让您显示网络接口列表。
+ `ec2:DescribeSecurityGroups` - 可让您显示所有安全组的列表。
+ `ec2:DescribeVpcs`— 允许您显示列表 VPCs。
+ `ec2:DescribeAvailabilityZones` - 可让您列出可供您使用的区域。
有关权限的更多信息,请参阅 [Amazon Route 53 API 权限:操作、资源和条件参考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 托管策略: AmazonRoute53 ResolverReadOnlyAccess
您可以将 `AmazonRoute53ResolverReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予对 Route 53 VPC 解析器资源的只读访问权限。
**权限详细信息**
该策略包含以下权限。
+ `route53resolver:Get*`— 获取 VPC 解析器资源。
+ `route53resolver:List*`— 允许您显示 VPC 解析器资源列表。
+ `ec2:DescribeNetworkInterfaces` - 可让您显示网络接口列表。
+ `ec2:DescribeSecurityGroups` - 可让您显示所有安全组的列表。
有关权限的更多信息,请参阅 [Amazon Route 53 API 权限:操作、资源和条件参考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 托管策略:Route53 ResolverServiceRolePolicy
您不能将 `Route53ResolverServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到服务相关角色,允许 Route 53 VPC 解析器访问由 VPC 解析器使用或管理的 AWS 服务和资源。有关更多信息,请参阅 [将服务相关角色用于 Amazon Route 53 Resolver](using-service-linked-roles.md)。
## AWS 托管策略: AmazonRoute53 ProfilesFullAccess
您可以将 `AmazonRoute53ProfilesReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予对 Amazon Route 53 配置文件资源的完全访问权限。
**权限详细信息**
该策略包含以下权限。
+ `route53profiles` - 可让您在 Route 53 控制台上创建和管理配置文件资源。
+ `ec2`— 允许校长获取有关 VPCs信息。
有关权限的更多信息,请参阅 [Amazon Route 53 API 权限:操作、资源和条件参考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 托管策略: AmazonRoute53 ProfilesReadOnlyAccess
您可以将 `AmazonRoute53ProfilesReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予对 Amazon Route 53 配置文件资源的只读访问权限。
**权限详细信息**
有关权限的更多信息,请参阅 [Amazon Route 53 API 权限:操作、资源和条件参考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 托管策略的 Route 53 更新
查看自该服务开始跟踪这些更改以来 Route 53 AWS 托管策略更新的详细信息。有关此页面更改的自动提醒,请订阅 Route 53 [文档历史记录页面](History.md)上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — 更新了政策 | 添加了 `cloudwatch:GetMetricData`、`tag:GetResources`、`es:ListDomainNames`、`es:DescribeDomains`、`cloudfront:GetDistributionTenantByDomain`、`cloudfront:GetConnectionGroup` 和 `lightsail:GetContainerServices` 的权限。这些权限使您能够获取最多 500 个运行 CloudWatch 状况检查指标、最多 100 个运行状况检查名称、获取指定亚马逊 OpenSearch 服务域的域配置、列出当前用户在活动区域中拥有的所有亚马逊 OpenSearch 服务域的名称、获取 CloudFront 多租户分配并获取 Lightsail 容器服务。 | 2025 年 6 月 1 日 |
| [AmazonRoute53 ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) — 更新了政策 | 添加了 `GetProfilePolicy` 和 `PutProfilePolicy` 权限。这些是仅限权限的 IAM 操作。如果 IAM 委托人未获得这些权限,则在尝试使用该 AWS RAM 服务共享个人资料时会出错。 | 2024 年 8 月 27 日 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — 更新了政策 | 添加了 `GetProfilePolicy` 权限。这是仅限权限的 IAM 操作。如果 IAM 委托人未获得此权限,则尝试使用该 AWS RAM 服务访问配置文件的策略时将发生错误。 | 2024 年 8 月 27 日 |
| [AmazonRoute53 ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) — 更新了政策 | 添加了语句 ID (Sid),以唯一地标识策略。 | 2024 年 8 月 5 日 |
| [AmazonRoute53 ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) — 更新了政策 | 添加了语句 ID (Sid),以唯一地标识策略。 | 2024 年 8 月 5 日 |
| [AmazonRoute53 ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) — 新政策 | Amazon Route 53 添加了一项新策略,允许完全访问 Amazon Route 53 配置文件资源。 | 2024 年 4 月 22 日 |
| [AmazonRoute53 ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) — 新政策 | Amazon Route 53 添加了一项新策略,允许以只读形式访问 Amazon Route 53 配置文件资源。 | 2024 年 4 月 22 日 |
| [53 号公路 ResolverServiceRolePolicy — 新](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy)政策 | Amazon Route 53 添加了一项附加到服务相关角色的新策略,允许 VPC 解析器访问由解析器使用或管理的 AWS 服务和资源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53 ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) — 新政策 | Amazon Route 53 添加了一项新政策,允许对 VPC 解析器资源进行只读访问。 | 2021 年 7 月 14 日 |
| [AmazonRoute53 ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) — 新政策 | Amazon Route 53 添加了一项新政策,允许完全访问 VPC 解析器资源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53 DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) — 新政策 | Amazon Route 53 添加了一项新策略,允许以只读形式访问 Route 53 域资源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53 DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) — 新政策 | Amazon Route 53 添加了一项新策略,允许完全访问 Route 53 域资源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53 ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) — 新政策 | Amazon Route 53 添加了一项新策略,允许以只读形式访问 Route 53 资源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53 FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) — 新政策 | Amazon Route 53 添加了一项新策略,允许完全访问 Route 53 资源。 | 2021 年 7 月 14 日 |
| Route 53 已开启跟踪更改 | Route 53 开始跟踪其 AWS 托管策略的更改。 | 2021 年 7 月 14 日 |