本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Route 53 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管政策:AmazonRoute53FullAccess
您可將 AmazonRoute53FullAccess 政策連接到 IAM 身分。
該政策將完整存取權授與 Route 53 資源,包括網域註冊和運作狀態檢查,但 Resolver 除外
許可詳細資訊
此政策包含以下許可。
-
route53:*– 可讓您執行以下除外的所有 Route 53 動作:-
建立和更新 Alias Target (別名目標) 之值為 CloudFront 分佈、Elastic Load Balancing 負載平衡器、Elastic Beanstalk 環境或 Amazon S3 儲存貯體的別名記錄。(透過這些許可,您可以建立 Alias Target (別名目標) 之值為相同託管區域中另一個記錄的別名記錄。)
-
使用私有託管區域。
-
使用網域。
-
建立、刪除和檢視 CloudWatch 警示。
-
在 Route 53 主控台中轉譯 CloudWatch 指標。
-
-
route53domains:*- 可讓您使用網域。 -
cloudfront:ListDistributions– 可讓您建立和更新 Alias Target (別名目標) 之值為 CloudFront 分佈的別名記錄。如果未使用 Route 53 主控台,則不需要此許可。Route 53 只使用它來取得顯示在主控台中的分佈清單。
-
cloudfront:GetDistributionTenantByDomain– 用來擷取 CloudFront 多租用戶分佈,讓您建立和更新別名目標值為 CloudFront 分佈租用戶的別名記錄。 -
cloudfront:GetConnectionGroup– 用來擷取 CloudFront 多租用戶分佈,讓您建立和更新別名目標值為 CloudFront 分佈租用戶的別名記錄。 -
cloudwatch:DescribeAlarms– 搭配sns:ListTopics和sns:ListSubscriptionsByTopic,可讓您建立、刪除和檢視 CloudWatch 警示。 -
cloudwatch:GetMetricStatistics– 可讓您建立 CloudWatch 指標運作狀態檢查。如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的統計資訊清單。
-
cloudwatch:GetMetricData– 可讓您顯示 CloudWatch 運作狀態檢查指標的狀態。 -
ec2:DescribeVpcs– 可讓您顯示 VPC 清單。 -
ec2:DescribeVpcEndpoints– 可讓您顯示 VPC 端點清單。 -
ec2:DescribeRegions– 可讓您顯示可用區域清單。 -
elasticloadbalancing:DescribeLoadBalancers– 可讓您建立和更新 Alias Target (別名目標) 之值為 Elastic Load Balancing 負載平衡器的別名記錄。如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的負載平衡器清單。
-
elasticbeanstalk:DescribeEnvironments– 可讓您建立和更新 Alias Target (別名目標) 之值為 Elastic Beanstalk 環境的別名記錄。如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的環境清單。
-
es:ListDomainNames– 可讓您顯示作用中區域中目前使用者擁有的所有 Amazon OpenSearch Service 網域的名稱。 -
es:DescribeDomains– 可讓您取得指定 Amazon OpenSearch Service 網域的網域組態。 -
lightsail:GetContainerServices– 可讓您使用Lightsail容器服務來建立和更新別名目標值為Lightsail網域的別名記錄。 -
s3:ListBucket、s3:GetBucketLocation和s3:GetBucketWebsite– 可讓您建立和更新 Alias Target (別名目標) 之值為 Amazon S3 儲存貯體的別名記錄。(只有在儲存貯體設定為網站端點時,您才可以建立 Amazon S3 儲存貯體的別名;s3:GetBucketWebsite會取得所需的組態資訊。)如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的儲存貯體清單。
-
sns:ListTopics、sns:ListSubscriptionsByTopic、cloudwatch:DescribeAlarms- 可讓您建立、刪除和檢視 CloudWatch 警示。 -
tag:GetResources– 可讓您在 資源中顯示標籤。例如,運作狀態檢查的名稱。 -
apigateway:GET– 可讓您建立和更新 Alias Target (別名目標) 的值為 Amazon API Gateway API 的別名記錄。
如需許可的詳細資訊,請參閱 Amazon Route 53 API 許可:動作、資源和條件參考。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:*", "route53domains:*", "cloudfront:ListDistributions", "cloudfront:GetDistributionTenantByDomain", "cloudfront:GetConnectionGroup", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRegions", "elasticloadbalancing:DescribeLoadBalancers", "elasticbeanstalk:DescribeEnvironments", "es:ListDomainNames", "es:DescribeDomains", "lightsail:GetContainerServices", "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketWebsite", "sns:ListTopics", "sns:ListSubscriptionsByTopic", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": "apigateway:GET", "Resource": "arn:aws:apigateway:*::/domainnames" } ] }
AWS 受管政策:AmazonRoute53ReadOnlyAccess
您可將 AmazonRoute53ReadOnlyAccess 政策連接到 IAM 身分。
此政策將唯讀存取權授與 Route 53 資源,包括網域註冊和運作狀態檢查,但 Resolver 除外
許可詳細資訊
此政策包含以下許可。
-
route53:Get*- 取得路由 Route 53 資源。 -
route53:List*- 列出 Route 53 資源。 -
route53:TestDNSAnswer- 取得 Route 53 為回應 DNS 要求所傳回的值。
如需許可的詳細資訊,請參閱 Amazon Route 53 API 許可:動作、資源和條件參考。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:Get*", "route53:List*", "route53:TestDNSAnswer" ], "Resource": [ "*" ] } ] }
AWS 受管政策:AmazonRoute53DomainsFullAccess
您可將 AmazonRoute53DomainsFullAccess 政策連接到 IAM 身分。
此政策授與 Route 53 網域註冊資源的完整存取權。
許可詳細資訊
此政策包含以下許可。
route53:CreateHostedZone- 可讓您建立 Route 53 託管區域。route53domains:*- 可讓您註冊網域名稱並執行相關操作。
如需許可的詳細資訊,請參閱 Amazon Route 53 API 許可:動作、資源和條件參考。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53domains:*" ], "Resource": [ "*" ] } ] }
AWS 受管政策:AmazonRoute53DomainsReadOnlyAccess
您可將 AmazonRoute53DomainsReadOnlyAccess 政策連接到 IAM 身分。
此政策授與 Route 53 網域註冊資源的唯讀存取權。
許可詳細資訊
此政策包含以下許可。
route53domains:Get*- 可讓您從 Route 53 擷取網域清單。route53domains:List*- 可讓您顯示 Route 53 網域的清單。
如需許可的詳細資訊,請參閱 Amazon Route 53 API 許可:動作、資源和條件參考。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53domains:Get*", "route53domains:List*" ], "Resource": [ "*" ] } ] }
AWS 受管政策:AmazonRoute53ResolverFullAccess
您可將 AmazonRoute53ResolverFullAccess 政策連接到 IAM 身分。
此政策授與 Route 53 Resolver 資源的完整存取權。
許可詳細資訊
此政策包含以下許可。
route53resolver:*- 可讓您在 Route 53 主控台上建立和管理 Resolver 資源。ec2:DescribeSubnets- 可讓您列出您的 Amazon VPC 子網路。ec2:CreateNetworkInterface、ec2:DeleteNetworkInterfaceh和ec2:ModifyNetworkInterfaceAttribute- 可讓您建立、修改和刪除網路介面。ec2:DescribeNetworkInterfaces- 可讓您顯示網路介面清單。ec2:DescribeSecurityGroups- 可讓您顯示所有安全群組的清單。ec2:DescribeVpcs- 可讓您顯示 VPC 清單。ec2:DescribeAvailabilityZones- 可讓您列出可供您使用的區域。
如需許可的詳細資訊,請參閱 Amazon Route 53 API 許可:動作、資源和條件參考。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonRoute53ResolverFullAccess", "Effect": "Allow", "Action": [ "route53resolver:*", "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaces", "ec2:CreateNetworkInterfacePermission", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones" ], "Resource": [ "*" ] } ] }
AWS 受管政策:AmazonRoute53ResolverReadOnlyAccess
您可將 AmazonRoute53ResolverReadOnlyAccess 政策連接到 IAM 身分。
此政策授與 Route 53 解析程式資源的唯讀存取權。
許可詳細資訊
此政策包含以下許可。
route53resolver:Get*– 取得解析程式資源。route53resolver:List*- 可讓您顯示 Resolver 資源清單。ec2:DescribeNetworkInterfaces- 可讓您顯示網路介面清單。ec2:DescribeSecurityGroups- 可讓您顯示所有安全群組的清單。
如需許可的詳細資訊,請參閱 Amazon Route 53 API 許可:動作、資源和條件參考。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonRoute53ResolverReadOnlyAccess", "Effect": "Allow", "Action": [ "route53resolver:Get*", "route53resolver:List*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": [ "*" ] } ] }
AWS 受管政策:Route53ResolverServiceRolePolicy
您無法連接 Route53ResolverServiceRolePolicy 至您的 IAM 實體。此政策會連接到服務連結角色,而該角色可讓 Route 53 Resolver 存取由 Resolver 使用或管理的 AWS
服務和資源。如需詳細資訊,請參閱使用 Amazon Route 53 Resolver的服務連結角色。
AWS 受管政策:AmazonRoute53ProfilesFullAccess
您可將 AmazonRoute53ProfilesReadOnlyAccess 政策連接到 IAM 身分。
此政策授予 Amazon Route 53 Profile 資源的完整存取權。
許可詳細資訊
此政策包含以下許可。
-
route53profiles– 可讓您在 Route 53 主控台上建立和管理設定檔資源。 -
ec2– 允許主體取得 VPCs的相關資訊。
如需許可的詳細資訊,請參閱 Amazon Route 53 API 許可:動作、資源和條件參考。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonRoute53ProfilesFullAccess", "Effect": "Allow", "Action": [ "route53profiles:AssociateProfile", "route53profiles:AssociateResourceToProfile", "route53profiles:CreateProfile", "route53profiles:DeleteProfile", "route53profiles:DisassociateProfile", "route53profiles:DisassociateResourceFromProfile", "route53profiles:UpdateProfileResourceAssociation", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:GetProfileResourceAssociation", "route53profiles:GetProfilePolicy", "route53profiles:ListProfileAssociations", "route53profiles:ListProfileResourceAssociations", "route53profiles:ListProfiles", "route53profiles:PutProfilePolicy", "route53profiles:ListTagsForResource", "route53profiles:TagResource", "route53profiles:UntagResource", "route53resolver:GetFirewallConfig", "route53resolver:GetFirewallRuleGroup", "route53resolver:GetResolverConfig", "route53resolver:GetResolverDnssecConfig", "route53resolver:GetResolverQueryLogConfig", "route53resolver:GetResolverRule", "ec2:DescribeVpcs", "route53:GetHostedZone" ], "Resource": [ "*" ] } ] }
AWS 受管政策:AmazonRoute53ProfilesReadOnlyAccess
您可將 AmazonRoute53ProfilesReadOnlyAccess 政策連接到 IAM 身分。
此政策授予 Amazon Route 53 Profile 資源的唯讀存取權。
許可詳細資訊
如需許可的詳細資訊,請參閱 Amazon Route 53 API 許可:動作、資源和條件參考。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonRoute53ProfilesReadOnlyAccess", "Effect": "Allow", "Action": [ "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:GetProfileResourceAssociation", "route53profiles:GetProfilePolicy", "route53profiles:ListProfileAssociations", "route53profiles:ListProfileResourceAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "route53resolver:GetFirewallConfig", "route53resolver:GetResolverConfig", "route53resolver:GetResolverDnssecConfig", "route53resolver:GetResolverQueryLogConfig" ], "Resource": [ "*" ] } ] }
AWS 受管政策的 Route 53 更新
檢視自此服務開始追蹤這些變更以來,Route 53 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Route 53 文件歷程記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AmazonRoute53FullAccess – 更新的政策 |
新增 |
2025 年 6 月 1 日 |
|
AmazonRoute53ProfilesFullAccess – 更新的政策 |
新增 |
2024 年 8 月 27 日 |
|
新增 的許可 |
2024 年 8 月 27 日 | |
|
AmazonRoute53ResolverFullAccess – 已更新政策 |
新增陳述式 ID (Sid) 以唯一識別政策。 |
2024 年 8 月 5 日 |
|
新增陳述式 ID (Sid) 以唯一識別政策。 |
2024 年 8 月 5 日 | |
|
Amazon Route 53 新增了新的政策,以允許完整存取 Amazon Route 53 Profile 資源。 |
2024 年 4 月 22 日 | |
|
Amazon Route 53 新增了新的政策,以允許唯讀存取 Amazon Route 53 Profile 資源。 |
2024 年 4 月 22 日 | |
|
Amazon Route 53 新增了連接至服務連結角色的新政策,允許 Route 53 Resolver 存取 Resolver 使用或管理 AWS 的服務和資源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 新增了新的政策,以允許唯讀存取 Route 53 Resolver 資源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 新增了新的政策,以允許完整存取 Route 53 Resolver 資源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 新增了新的政策,以允許對 Route 53 網域資源的唯讀存取。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 新增了新的政策,以允許完整存取 Route 53 網域資源。 |
2021 年 7 月 14 日 | |
|
Amazon Route 53 新增了新的政策,以允許對 Route 53 資源的唯讀存取。 |
2021 年 7 月 14 日 | |
|
AmazonRoute53FullAccess – 新政策 |
Amazon Route 53 新增了新的政策,以允許完整存取 Route 53 資源。 |
2021 年 7 月 14 日 |
|
Route 53 開始追蹤變更 |
Route 53 已開始追蹤其 AWS 受管政策的變更。 |
2021 年 7 月 14 日 |
