AWS Route53 Global Resolver 的操作、资源和条件键

AWS Route53 Global Resolver（服务前缀:route53globalresolver）提供以下特定于服务的资源、操作和条件上下文密钥以在 IAM 权限策略中使用。

参考：

了解如何配置该服务。
查看适用于该服务的 API 操作列表。
了解如何使用 IAM 权限策略保护该服务及其资源。

主题

由 AWS Route53 全球解析器定义的操作
由 AWS Route53 全球解析器定义的资源类型
AWS Route53 全局解析器的条件密钥

由 AWS Route53 全球解析器定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时，通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下，单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的访问级别列描述如何对操作进行分类（列出、读取、权限管理或标记）。此分类可以帮助您了解当您在策略中使用操作时，相应操作授予的访问级别。有关访问级别的更多信息，请参阅策略摘要中的访问级别。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值，您必须在策略语句的 Resource 元素中指定策略应用的所有资源（“*”）。通过在 IAM policy 中使用条件来筛选访问权限，以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源，则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限，则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息，请参阅资源类型表的条件键列。

操作表的依赖操作列显示成功调用操作可能需要的其他权限。除了操作本身的权限以外，可能还需要这些权限。若某个操作指定依赖操作，则这些依赖关系可能适用于为该操作定义的其他资源，而不仅仅是表中列出的第一个资源。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型（* 为必需）列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列，这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息，请参阅操作表。

操作	描述	访问级别	资源类型（* 为必需）	条件键	相关操作
AllowVendedLogDeliveryForResource [仅权限]	授予为全局解析器传送日志的权限	权限管理	global-resolver*	aws:ResourceTag/${TagKey}
AssociateHostedZone	授予将资源与托管区域关联的权限	写入
BatchCreateFirewallRule	授予创建多个防火墙规则的权限	写入
BatchDeleteFirewallRule	授予删除多条防火墙规则的权限	写入
BatchUpdateFirewallRule	授予更新多条防火墙规则的权限	写入
CreateAccessSource	授予创建访问源的权限	写入	dns-view*
CreateAccessSource	授予创建访问源的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
CreateAccessToken	授予创建访问令牌的权限	写入	access-token*
CreateAccessToken	授予创建访问令牌的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
CreateDNSView	授予创建 dns 视图的权限	写入	dns-view*
CreateDNSView	授予创建 dns 视图的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
CreateFirewallDomainList	授予创建防火墙域列表的权限	写入	firewall-domain-list*
CreateFirewallDomainList	授予创建防火墙域列表的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
CreateFirewallRule	授予创建防火墙规则的权限	写入	dns-view*
CreateFirewallRule	授予创建防火墙规则的权限	写入	firewall-domain-list
CreateGlobalResolver	授予创建全局解析器的权限	写入	global-resolver*
CreateGlobalResolver	授予创建全局解析器的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAccessSource	授予删除访问源的权限	写入	access-source*
DeleteAccessToken	授予删除访问令牌的权限	写入	access-token*
DeleteDNSView	授予删除 dns 视图的权限	写入	dns-view*
DeleteFirewallDomainList	授予删除防火墙域列表的权限	写入	firewall-domain-list*
DeleteFirewallRule	授予删除防火墙规则的权限	写入
DeleteGlobalResolver	授予删除全局解析器的权限	写入	global-resolver*
DisableDNSView	授予禁用 dns 视图的权限	写入	dns-view*
DisassociateHostedZone	授予取消托管区域与资源的关联的权限	写入
EnableDNSView	授予启用 dns 视图的权限	写入	dns-view*
GetAccessSource	授予获取访问源的权限	读取	access-source*
GetAccessToken	授予获取访问令牌的权限	读取	access-token*
GetDNSView	授予获取 dns 视图的权限	读取	dns-view*
GetFirewallDomainList	授予获取防火墙域列表的权限	读取	firewall-domain-list*
GetFirewallRule	授予获取防火墙规则的权限	读取
GetGlobalResolver	授予获取全局解析器的权限	读取	global-resolver*
GetHostedZoneAssociation	授予获取托管区域关联的权限	读取
GetManagedFirewallDomainList	授予获取托管防火墙域列表的权限	读取
ImportFirewallDomains	授予从 S3 存储桶导入防火墙域的权限	写入	firewall-domain-list*		s3:GetObject s3:ListBucket
ListAccessSources	授予列出访问源的权限	列表
ListAccessTokens	授予列出访问令牌的权限	列表
ListDNSViews	授予列出 dns 视图的权限	列表
ListFirewallDomainLists	授予列出防火墙域列表的权限	列表
ListFirewallDomains	授予列出防火墙域的权限	读取	firewall-domain-list*
ListFirewallRules	授予列出防火墙规则的权限	列表	dns-view*
ListGlobalResolvers	授予列出全局解析器的权限	列表
ListHostedZoneAssociations	授予列出托管区域关联的权限	列表
ListManagedFirewallDomainLists	授予列出托管防火墙域列表的权限	列表
ListTagsForResource	授予权限以列出资源的标签	写入	access-source
			access-token
			dns-view
			firewall-domain-list
			global-resolver
TagResource	授予权限以标记资源	Tagging	access-source
			access-token
			dns-view
			firewall-domain-list
			global-resolver
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	授予权限以取消标记资源	标签	access-source
			access-token
			dns-view
			firewall-domain-list
			global-resolver
				aws:TagKeys
UpdateAccessSource	授予更新访问源的权限	写入	access-source*
UpdateAccessToken	授予更新访问令牌的权限	写入	access-token*
UpdateDNSView	授予更新 dns 视图的权限	写入	dns-view*
UpdateFirewallDomains	授予更新防火墙域的权限	写入	firewall-domain-list*
UpdateFirewallRule	授予更新防火墙规则的权限	写入
UpdateGlobalResolver	授予更新全局解析器的权限	写入	global-resolver*
UpdateHostedZoneAssociation	授予更新托管区域关联的权限	写入

由 AWS Route53 全球解析器定义的资源类型

以下资源类型是由该服务定义的，可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键，从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息，请参阅资源类型表。

资源类型	ARN	条件键
access-source	`arn:${Partition}:route53globalresolver::${Account}:access-source/${Id}`	aws:ResourceTag/${TagKey}
access-token	`arn:${Partition}:route53globalresolver::${Account}:access-token/${Id}`	aws:ResourceTag/${TagKey}
dns-view	`arn:${Partition}:route53globalresolver::${Account}:dns-view/${Id}`	aws:ResourceTag/${TagKey}
firewall-domain-list	`arn:${Partition}:route53globalresolver::${Account}:firewall-domain-list/${Id}`	aws:ResourceTag/${TagKey}
global-resolver	`arn:${Partition}:route53globalresolver::${Account}:global-resolver/${Id}`	aws:ResourceTag/${TagKey}

AWS Route53 全局解析器的条件密钥

AWS Route53 Global Resolver 定义了以下可用于 IAM 策略Condition元素的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息，请参阅条件键表。

要查看适用于所有服务的全局条件键，请参阅 AWS 全局条件上下文键。

条件键	描述	类型
aws:RequestTag/${TagKey}	按请求中允许的标签键值对筛选访问	字符串
aws:ResourceTag/${TagKey}	按某个资源的标签键值对筛选访问	字符串
aws:TagKeys	按请求中允许的标签键列表筛选访问	ArrayOfString

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon Route 53 Resolver

AWS RTB 面料