本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Route 53 中的身分和存取管理
若要在 Amazon Route 53 資源上執行任何操作,例如註冊網域或更新記錄, AWS Identity and Access Management (IAM) 會要求您驗證您是核准的 AWS 使用者。如果您使用 Route 53 主控台,可透過提供 AWS 使用者名稱和密碼來驗證您的身分。
驗證身分後,IAM 會驗證您是否具有執行操作和存取 資源的許可, AWS 藉此控制您對 的存取。如果您是帳戶管理員,您可以使用 IAM 控制其他使用者能否存取您的帳戶相關資源。
本章說明如何使用 [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 和 Route 53,協助保護您的資源。
**Topics**
+ [使用身分驗證](#security_iam_authentication)
+ [存取控制](#access-control)
+ [管理 Amazon Route 53 資源存取許可的概觀](access-control-overview.md)
+ [將以身分為基礎的政策 (IAM 政策) 用於 Amazon Route 53](access-control-managing-permissions.md)
+ [使用 的服務連結角色 Amazon Route 53 Resolver](using-service-linked-roles.md)
+ [AWS Amazon Route 53 的 受管政策](security-iam-awsmanpol-route53.md)
+ [使用 IAM 政策條件進行精細定義存取控制](specifying-conditions-route53.md)
+ [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 聯合身分
最佳實務是要求人類使用者使用聯合身分提供者,以 AWS 服務 使用臨時憑證存取 。
*聯合身分*是您企業目錄、Web 身分提供者的使用者,或使用來自身分來源的 AWS 服務 憑證存取 Directory Service 。聯合身分會擔任角色,而該角色會提供臨時憑證。
若需集中化管理存取權限,建議使用 AWS IAM Identity Center。如需詳細資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 存取控制
若要建立、更新、刪除或列出 Amazon Route 53 資源,您需要有執行操作的許可,而且也需要有存取對應資源的許可。
以下章節說明如何管理 Route 53 的許可。我們建議您先閱讀概觀。
**Topics**
# 管理 Amazon Route 53 資源存取許可的概觀
每個 AWS 資源都由 AWS 帳戶擁有,而建立或存取資源的許可是由許可政策管理。
**注意**
*帳戶管理員* (或管理員使用者) 是具有管理員許可的使用者。如需管理員的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
授予許可時,您會決定誰取得這些許可、取得許可的資源,以及他們有權執行的動作。
如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS 管理主控台。授予程式設計存取權的方式取決於正在存取的使用者類型 AWS。
若要授予使用者程式設計存取權,請選擇下列其中一個選項。
****
| 哪個使用者需要程式設計存取權? | 到 | 根據 |
| --- | --- | --- |
| IAM | (建議) 使用主控台登入資料做為臨時登入資料,以簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/access-control-overview.html) |
| 人力資源身分 (IAM Identity Center 中管理的使用者) | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/access-control-overview.html) |
| IAM | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 遵循《IAM 使用者指南》中[將臨時登入資料與 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)搭配使用的指示。 |
| IAM | (不建議使用)使用長期登入資料來簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/access-control-overview.html) |
**Topics**
+ [Amazon Route 53 資源的 ARN](#access-control-resources)
+ [了解資源所有權](#access-control-owner)
+ [管理 資源的存取](#access-control-manage-access-intro)
+ [指定政策元素:資源、動作、效果和委託人](#access-control-specify-r53-actions)
+ [在政策中指定條件](#specifying-conditions)
## Amazon Route 53 資源的 ARN
Amazon Route 53 支援用於 DNS、運作狀態檢查和網域註冊的各種資源類型。在政策,您可以透過將 `*` 用於 ARN,授與或拒絕下列資源的存取:
+ 運作狀態檢查
+ 託管區域
+ 可重複使用的委派組
+ 資源記錄集變更批次的狀態 (API)
+ 流量政策 (流量流程)
+ 流量政策執行個體 (流量流程)
並不是所有 Route 53 資源都支援許可。您無法授與或拒絕以下資源的存取:
+ 網域
+ 個別記錄
+ 網域的標籤
+ 運作狀態檢查的標籤
+ 託管區域的標籤
Route 53 提供 API 動作來處理這每一種類型的資源。如需詳細資訊,請參閱 [Amazon Route 53 API 參考](https://docs.aws.amazon.com/Route53/latest/APIReference/)。如需為了授與或拒絕使用每個動作的許可而指定的動作和 ARN 清單,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
## 了解資源所有權
AWS 帳戶擁有在帳戶中建立的資源,無論誰建立資源。具體而言,資源擁有者是驗證資源建立請求的委託人實體 AWS 帳戶 (即根帳戶或 IAM 角色)。
下列範例說明其如何運作:
+ 如果您使用 AWS 帳戶的根帳戶登入資料來建立託管區域, AWS 您的帳戶即為資源的擁有者。
+ 如果您在 AWS 帳戶中建立使用者,並將建立託管區域的許可授予該使用者,則使用者可以建立託管區域。但是您的 AWS 帳戶 (也是該使用者所屬的帳戶) 擁有該託管區域資源。
+ 如果您在 AWS 帳戶中建立具有建立託管區域許可的 IAM 角色,則任何可以擔任該角色的人都可以建立託管區域。該角色所屬 AWS 的帳戶擁有託管區域資源。
## 管理 資源的存取
*許可政策*指定何人可存取何物。本節說明用來為 Amazon Route 53 建立許可政策的選項。如需 IAM 政策語法和說明的一般資訊,請參閱 *IAM 使用者指南*中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
連接至 IAM 身分的政策稱為*以身分為基礎*的政策 (IAM 政策),連接至資源的政策稱為*以資源為基礎*的政策。Route 53 僅支援以身分為基礎的政策 (IAM 政策)。
**Topics**
+ [身分類型政策 (IAM 政策)](#access-control-manage-access-intro-iam-policies)
+ [資源型政策](#access-control-manage-access-intro-resource-policies)
### 身分類型政策 (IAM 政策)
您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:
+ **將許可政策連接至您帳戶中的使用者或群組** – 帳戶管理員可以使用與特定使用者相關聯的許可政策,來授與該使用者建立 Amazon Route 53 資源的許可。
+ **將許可政策連接至角色 (授予跨帳戶許可)** – 您可以將執行 Route 53 動作的許可授予由另一個 AWS 帳戶建立的使用者。若要這樣做,請將許可政策連接至 IAM 角色,然後允許其他帳戶中的使用者擔任該角色。以下範例說明如何對兩個 AWS 帳戶 (帳戶 A 和帳戶 B) 執行此操作:
1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接至該角色,來授予建立或存取帳戶 A 所擁有資源的許可。
1. 帳戶 A 管理員將信任政策連接至該角色。信任政策識別帳戶 B 做為可擔任該角色的委託人。
1. 然後,帳戶 B 管理員將擔任該角色的許可委派給帳戶 B 中的任何使用者或群組。這麼做可讓帳戶 B 中的使用者建立或存取帳戶 A 的資源。
如需如何將許可委派給另一個 AWS 帳戶中使用者的詳細資訊,請參閱《*IAM 使用者指南*》中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
以下範例政策可讓使用者執行 `CreateHostedZone` 動作,為任何 AWS 帳戶建立公有託管區域:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
如果您希望政策也套用至私有託管區域,您需要授與使用 Route 53 `AssociateVPCWithHostedZone` 動作和兩個 Amazon EC2 動作 (`DescribeVpcs` 和 `DescribeRegion`) 的許可,如下列範例所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeRegions"
],
"Resource": "*"
}
]
}
```
------
如需將政策連接至 Route 53 身分的詳細資訊,請參閱 [將以身分為基礎的政策 (IAM 政策) 用於 Amazon Route 53](access-control-managing-permissions.md)。如需使用者、群組、角色和許可的詳細資訊,請參閱 *IAM 使用者指南*中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 資源型政策
其他服務 (例如 Amazon S3) 也支援將許可政策連接到資源。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。Amazon Route 53 不支援將政策連接到資源。
## 指定政策元素:資源、動作、效果和委託人
Amazon Route 53 包含 API 動作 (請參閱[Amazon Route 53 API 參考](https://docs.aws.amazon.com/Route53/latest/APIReference/)),您可以在每個 Route 53 資源上使用這些動作 (請參閱 [Amazon Route 53 資源的 ARN](#access-control-resources))。您可以對使用者或聯合身分使用者授予執行任何或所有這些動作的許可。請注意,某些 API 動作 (例如註冊網域),需要執行多個動作的許可。
以下是基本的政策元素:
+ **資源** - 您使用 Amazon Resource Name (ARN) 識別欲套用政策的資源。如需詳細資訊,請參閱[Amazon Route 53 資源的 ARN](#access-control-resources)。
+ **動作**:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的 `Effect`,`route53:CreateHostedZone` 許可會允許或拒絕使用者執行 Route 53 `CreateHostedZone` 動作。
+ **效果** - 您指定在使用者嘗試對指定資源執行動作時的效果 (允許或拒絕)。如果您不明確授與動作的存取權,將會隱含拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ **委託人**:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。Route 53 不支援資源型政策。
如需 IAM 政策語法和說明的詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
如需顯示所有 Route 53 API 操作與其適用資源的資料表,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
## 在政策中指定條件
當您授予許可時,您可以使用 IAM 政策語言指定政策生效時間。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
欲表示條件,您可以使用預先定義的條件金鑰。沒有 Route 53 特定的條件金鑰。不過,您可以視需要使用 AWS 各種條件索引鍵。如需 AWS 各種金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[適用於條件的金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
# 將以身分為基礎的政策 (IAM 政策) 用於 Amazon Route 53
本主題提供以身分為基礎的政策範例,此範例會示範帳戶管理員如何將許可政策連接至 IAM 身分,並藉此授與許可,以對 Amazon Route 53 資源執行操作。
**重要**
建議您先檢閱簡介主題,這些主題說明管理 Route 53 資源存取的基本槪念與選項。如需詳細資訊,請參閱[管理 Amazon Route 53 資源存取許可的概觀](access-control-overview.md)。
**注意**
授與存取權時,託管區域和 Amazon VPC 必須屬於相同分割區。分割區是 的群組 AWS 區域。每個 的範圍 AWS 帳戶 都是一個分割區。
以下是支援的分割區:
`aws` - AWS 區域
`aws-cn` - 中國區域
`aws-us-gov` - AWS GovCloud (US) Region
如需詳細資訊,請參閱 *AWS 一般參考*中的[存取管理](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)[和 Amazon Route 53 端點和配額](https://docs.aws.amazon.com/general/latest/gr/r53.html)。
**Topics**
+ [使用 Amazon Route 53 主控台所需的許可](#console-required-permissions)
+ [網域記錄擁有者的許可範例](#example-permissions-record-owner)
+ [DNSSEC 簽署需要 Route 53 客戶受管金鑰許可](#KMS-key-policy-for-DNSSEC)
+ [客戶管理政策範例](#access-policy-examples-for-sdk-cli)
以下範例示範許可政策。`Sid` (陳述式 ID) 為選用:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AllowPublicHostedZonePermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53:UpdateHostedZoneComment",
"route53:GetHostedZone",
"route53:ListHostedZones",
"route53:DeleteHostedZone",
"route53:ChangeResourceRecordSets",
"route53:ListResourceRecordSets",
"route53:GetHostedZoneCount",
"route53:ListHostedZonesByName"
],
"Resource": "*"
},
{
"Sid" : "AllowHealthCheckPermissions",
"Effect": "Allow",
"Action": [
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:GetHealthCheck",
"route53:ListHealthChecks",
"route53:DeleteHealthCheck",
"route53:GetCheckerIpRanges",
"route53:GetHealthCheckCount",
"route53:GetHealthCheckStatus",
"route53:GetHealthCheckLastFailureReason"
],
"Resource": "*"
}
]
}
```
------
政策包含兩個陳述式:
+ 第一個陳述式授予建立和管理公有託管區域及其記錄所需的動作的許可。Amazon Resource Name (ARN) 中的萬用字元 (\$1) 會授予目前 AWS 帳戶擁有的所有託管區域的存取權。
+ 第二個陳述式授予建立和管理運作狀態檢查所需的動作的許可。
如需為了授與或拒絕使用每個動作的許可而指定的動作和 ARN 清單,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
## 使用 Amazon Route 53 主控台所需的許可
若要授予 Amazon Route 53 主控台的完整存取權,可在以下許可政策中授予許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:*",
"route53domains:*",
"tag:*",
"ssm:GetParametersByPath",
"cloudfront:ListDistributions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"s3:ListAllMyBuckets",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:ModifyNetworkInterfaceAttribute",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"sns:CreateTopic",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateKey",
"kms:CreateAlias",
"kms:Sign",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource":"*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
需要許可的原因如下:
**`route53:*`**
可讓您執行以下*除外*的所有 Route 53 動作:
+ 建立和更新 **Alias Target (別名目標)** 之值為 CloudFront 分佈、Elastic Load Balancing 負載平衡器、Elastic Beanstalk 環境或 Amazon S3 儲存貯體的別名記錄。(透過這些許可,您可以建立 **Alias Target (別名目標)** 之值為相同託管區域中另一個記錄的別名記錄。)
+ 使用私有託管區域。
+ 使用網域。
+ 建立、刪除和檢視 CloudWatch 警示。
+ 在 Route 53 主控台中轉譯 CloudWatch 指標。
**`route53domains:*`**
可讓您使用網域。
如果您個別列出 `route53` 動作,則必須包含 `route53:CreateHostedZone` 才能使用網域。當您註冊網域,同時會建立託管區域,因此包含註冊網域許可的政策也需要建立託管區域的許可。
對於網域註冊,Route 53 不支援授與或拒絕個別資源許可。
**`route53resolver:*`**
可讓您使用 Route 53 VPC Resolver。
**`ssm:GetParametersByPath`**
可讓您在建立新的別名記錄、私人託管區域和運作狀態檢查時擷取公開可用的區域。
**`cloudfront:ListDistributions`**
可讓您建立和更新 **Alias Target (別名目標)** 之值為 CloudFront 分佈的別名記錄。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的分佈清單。
**`elasticloadbalancing:DescribeLoadBalancers`**
可讓您建立和更新 **Alias Target (別名目標)** 之值為 ELB 負載平衡器的別名記錄。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的負載平衡器清單。
**`elasticbeanstalk:DescribeEnvironments`**
可讓您建立和更新 **Alias Target (別名目標)** 之值為 Elastic Beanstalk 環境的別名記錄。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的環境清單。
**`s3:ListAllMyBuckets`、`s3:GetBucketLocation` 與 `s3:GetBucketWebsite`**
可讓您建立和更新 **Alias Target (別名目標)** 之值為 Amazon S3 儲存貯體的別名記錄。(只有在儲存貯體設定為網站端點時,您才可以建立 Amazon S3 儲存貯體的別名; `s3:GetBucketWebsite` 會取得所需的組態資訊。)
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的儲存貯體清單。
**`ec2:DescribeVpcs` 和 `ec2:DescribeRegions`**
可讓您使用私有託管區域。
**所有列出的 `ec2` 許可**
可讓您使用 Route 53 VPC Resolver。
**`sns:ListTopics`, `sns:ListSubscriptionsByTopic`, `sns:CreateTopic`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms`**
可讓您建立、刪除和檢視 CloudWatch 警示。
**`cloudwatch:GetMetricStatistics`**
可讓您建立 CloudWatch 指標運作狀態檢查。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的統計資訊清單。
**`apigateway:GET`**
可讓您建立和更新 **Alias Target (別名目標)** 的值為 Amazon API Gateway API 的別名記錄。
如果未使用 Route 53 主控台,則不需要此許可。Route 53 只使用它來取得顯示在主控台中的 API 清單。
**`kms:*`**
可讓您使用 AWS KMS 來啟用 DNSSEC 簽署。
## 網域記錄擁有者的許可範例
透過資源記錄集許可,您可以設定精細的許可,以限制 AWS 使用者可以更新或修改的內容。如需詳細資訊,請參閱[使用 IAM 政策條件進行精細定義存取控制](specifying-conditions-route53.md)。
在某些情況下,託管區域擁有者可能負責託管區域的整體管理,而組織中的其他人則負責這些任務的子集。例如,已啟用 DNSSEC 簽署的託管區域擁有者可能想要建立 IAM 政策,其中包含其他人在託管區域中新增和刪除資源集記錄 (RR) 的許可,以及執行其他任務的許可。託管區域擁有者選擇為記錄擁有者或其他人啟用的特定許可,將取決於其組織的政策。
以下是 IAM 政策範例,這些政策可讓記錄擁有者修改 RR、流量政策和運作狀態檢查。具有此政策的記錄擁有者不允許執行區域層級作業,例如建立或刪除區域、啟用或停用查詢日誌記錄、建立或刪除可重複使用的委派集,或變更 DNSSEC 設定。
```
{
"Sid": "Do not allow zone-level modification ",
"Effect": "Allow",
"Action": [
"route53:ChangeResourceRecordSets",
"route53:CreateTrafficPolicy",
"route53:DeleteTrafficPolicy",
"route53:CreateTrafficPolicyInstance",
"route53:CreateTrafficPolicyVersion",
"route53:UpdateTrafficPolicyInstance",
"route53:UpdateTrafficPolicyComment",
"route53:DeleteTrafficPolicyInstance",
"route53:CreateHealthCheck",
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck",
"route53:List*",
"route53:Get*"
],
"Resource": [
"*"
]
}
```
## DNSSEC 簽署需要 Route 53 客戶受管金鑰許可
當您為 Route 53 啟用 DNSSEC 簽署時,Route 53 會根據 () 中的客戶受管金鑰建立金鑰簽署金鑰 AWS Key Management Service (KSK)AWS KMS。您可以使用現有的客戶受管金鑰 (支援 DNSSEC 簽署) 或建立新的金鑰。Route 53 必須具有存取客戶受管金鑰的許可,才能為您建立 KSK。
若要啟用 Route 53 存取您的客戶受管金鑰,請確定您的客戶受管金鑰政策包含下列陳述式:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:DescribeKey",
"kms:GetPublicKey",
"kms:Sign"],
"Resource": "*"
},
{
"Sid": "Allow Route 53 DNSSEC to CreateGrant",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": ["kms:CreateGrant"],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
```
混淆代理問題屬於安全性議題,其中沒有動作許可的實體可以強制具有更多權限的實體執行該動作。為了保護您的 AWS KMS 不受威脅,您可以選擇性地透過提供 `aws:SourceAccount`和 `aws:SourceArn`條件 (兩者或一個) 的組合,將服務的許可限制在資源型政策中的資源。 `aws:SourceAccount` 是託管區域擁有者 AWS 的帳戶 ID。 `aws:SourceArn` 是託管區域的 ARN。
以下為您可以新增的許可的兩個示例:
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/HOSTED_ZONE_ID"
}
}
},
```
- 或 -
```
{
"Sid": "Allow Route 53 DNSSEC Service",
…
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["1111-2222-3333","4444-5555-6666"]
},
"ArnLike": {
"aws:SourceArn": "arn:aws:route53:::hostedzone/*"
}
}
},
```
如需詳細資訊,請參閱《*IAM 使用者指南*》中的[混淆代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。
## 客戶管理政策範例
您可以建立自訂 IAM 政策,授予執行 Route 53 動作的相關許可。您可以將這些自訂政策連接至需要指定許可的 IAM 群組。當您使用 Route 53 API、 AWS SDKs或 CLI AWS 時,這些政策會運作。以下範例示範幾個常用案例的許可。如需授與使用者 Route 53完整存取權的政策,請參閱 [使用 Amazon Route 53 主控台所需的許可](#console-required-permissions)。
**Topics**
+ [範例 1:允許讀取存取所有託管區域](#access-policy-example-allow-read-hosted-zones)
+ [範例 2:允許建立和刪除託管區域](#access-policy-example-allow-create-delete-hosted-zones)
+ [範例 3:允許完整存取所有網域 (僅限公有託管區域)](#access-policy-example-allow-full-domain-access)
+ [範例 4:允許建立傳入和傳出 Route 53 VPC 解析程式端點](#access-policy-example-create-resolver-endpoints)
### 範例 1:允許讀取存取所有託管區域
以下許可政策為使用者授與列出所有託管區域和檢視託管區域中的所有記錄的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53:GetHostedZone",
"route53:ListResourceRecordSets"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:ListHostedZones"],
"Resource":"*"
}
]
}
```
------
### 範例 2:允許建立和刪除託管區域
以下許可政策允許使用者建立和刪除託管區域,以及追蹤變更進度。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":["route53:CreateHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:DeleteHostedZone"],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["route53:GetChange"],
"Resource":"*"
}
]
}
```
------
### 範例 3:允許完整存取所有網域 (僅限公有託管區域)
以下許可政策允許使用者在網域註冊上執行所有動作,包括註冊網域和建立託管區域的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"route53domains:*",
"route53:CreateHostedZone"
],
"Resource":"*"
}
]
}
```
------
當您註冊網域,同時會建立託管區域,因此包含註冊網域許可的政策也需要建立託管區域的許可。(對於網域註冊,Route 53 不支援授與個別資源許可。)
如需有關使用私有託管區域所需許可的詳細資訊,請參閱[使用 Amazon Route 53 主控台所需的許可](#console-required-permissions)。
### 範例 4:允許建立傳入和傳出 Route 53 VPC 解析程式端點
下列許可政策可讓使用者使用 Route 53 主控台來建立 Resolver 傳入和傳出端點
其中一些許可僅在主控台中建立端點時才需要。如果您只是要以程式設計方式建立傳入和傳出端點而想要授與許可,可以忽略這些許可:
+ `route53resolver:ListResolverEndpoints` 讓使用者查看傳入或傳出端點的清單,以便確認端點是否已建立。
+ `DescribeAvailabilityZones` 是顯示可用區域清單的必要項。
+ `DescribeVpcs` 是顯示 VPC 清單的必要項。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53resolver:CreateResolverEndpoint",
"route53resolver:ListResolverEndpoints",
"ec2:CreateNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# 使用 的服務連結角色 Amazon Route 53 Resolver
Route 53 VPC Resolver 使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 VPC Resolver 的唯一 IAM 角色類型。服務連結角色由 VPC Resolver 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 VPC Resolver,因為您不必手動新增必要的許可。VPC Resolver 定義其服務連結角色的許可,除非另有定義,否則只有 VPC Resolver 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除相關的資源,才能刪除服務連結角色。這可保護您的 VPC Resolver 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄顯示為**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
**Topics**
+ [VPC 解析程式的服務連結角色許可](#slr-permissions)
+ [為 VPC 解析程式建立服務連結角色](#create-slr)
+ [編輯 VPC 解析程式的服務連結角色](#edit-slr)
+ [刪除 VPC 解析程式的服務連結角色](#delete-slr)
+ [VPC Resolver 服務連結角色支援的區域](#slr-regions)
## VPC 解析程式的服務連結角色許可
VPC Resolver 使用**`AWSServiceRoleForRoute53Resolver`**服務連結角色代表您交付查詢日誌。
角色許可政策可讓 VPC Resolver 在您的 資源上完成下列動作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups",
"s3:GetBucketPolicy"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 為 VPC 解析程式建立服務連結角色
您不需要手動建立服務連結角色,當您在 Amazon Route 53 主控台、 AWS CLI或 AWS API 中建立解析程式查詢日誌組態關聯時,VPC Resolver 會為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。此外,如果您在 2020 年 8 月 12 日之前使用 VPC Resolver 服務,則當它開始支援服務連結角色時,VPC Resolver 會在您的帳戶中建立該`AWSServiceRoleForRoute53Resolver`角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立新的 Resolver 查詢日誌組態關聯時,會再度為您建立 `AWSServiceRoleForRoute53Resolver` 服務連結角色。
## 編輯 VPC 解析程式的服務連結角色
VPC Resolver 不允許您編輯`AWSServiceRoleForRoute53Resolver`服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 VPC 解析程式的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
如果您嘗試刪除資源時,VPC Resolver 服務正在使用 角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 使用的 VPC Resolver 資源 `AWSServiceRoleForRoute53Resolver`**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 展開 Route 53 主控台選單。在主控台的左上角,選擇三個水平橫條 (![\[Menu icon\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/images/menu-icon.png)) 圖示。
1. 在 **Resolver** 選單內,選擇 **Query logging (查詢日誌記錄)**。
1. 選取查詢日誌記錄組態名稱旁的核取方塊,然後選擇 **Delete (刪除)**。
1. 在 **Delete query logging configuration (刪除查詢日誌記錄組態)** 文字方塊中,選取 **Stop logging queries (停止日誌記錄查詢)**。
這將取消組態與 VPC 的關聯。您也可以透過程式設計方式取消查詢日誌記錄組態的關聯。如需詳細資訊,請參閱 [disassociate-resolver-query-log-config](https://docs.aws.amazon.com//cli/latest/reference/route53resolver/disassociate-resolver-query-log-config.html)。
1. 日誌記錄查詢停止後,您可以選擇性地在欄位中輸入 **delete**,然後選擇 **Delete (刪除)** 以刪除查詢日誌記錄組態。但是,刪除 `AWSServiceRoleForRoute53Resolver` 使用的資源不需要執行此操作。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForRoute53Resolver`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## VPC Resolver 服務連結角色支援的區域
VPC Resolver 不支援在提供服務的每個區域中使用服務連結角色。您可以在下列區域中使用 `AWSServiceRoleForRoute53Resolver` 角色。
****
| 區域名稱 | 區域身分 | VPC Resolver 支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| 中國 (北京) | cn-north-1 | 是 |
| 中國 (寧夏) | cn-northwest-1 | 是 |
| AWS GovCloud (US) | us-gov-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 是 |
# AWS Amazon Route 53 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AmazonRoute53FullAccess
您可將 `AmazonRoute53FullAccess` 政策連接到 IAM 身分。
此政策授予 Route 53 資源的完整存取權,包括網域註冊和運作狀態檢查,但不包括 VPC Resolver。
**許可詳細資訊**
此政策包含以下許可。
+ `route53:*` – 可讓您執行以下*除外*的所有 Route 53 動作:
+ 建立和更新 **Alias Target (別名目標)** 之值為 CloudFront 分佈、Elastic Load Balancing 負載平衡器、Elastic Beanstalk 環境或 Amazon S3 儲存貯體的別名記錄。(透過這些許可,您可以建立 **Alias Target (別名目標)** 之值為相同託管區域中另一個記錄的別名記錄。)
+ 使用私有託管區域。
+ 使用網域。
+ 建立、刪除和檢視 CloudWatch 警示。
+ 在 Route 53 主控台中轉譯 CloudWatch 指標。
+ `route53domains:*` - 可讓您使用網域。
+ `cloudfront:ListDistributions` – 可讓您建立和更新 **Alias Target (別名目標)** 之值為 CloudFront 分佈的別名記錄。
如果未使用 Route 53 主控台,則不需要此許可。Route 53 只使用它來取得顯示在主控台中的分佈清單。
+ `cloudfront:GetDistributionTenantByDomain` – 用來擷取 CloudFront 多租用戶分佈,讓您建立和更新**別名目標**值為 CloudFront 分佈租用戶的別名記錄。
+ `cloudfront:GetConnectionGroup` – 用來擷取 CloudFront 多租用戶分佈,讓您建立和更新**別名目標**值為 CloudFront 分佈租用戶的別名記錄。
+ `cloudwatch:DescribeAlarms` – 搭配 `sns:ListTopics`和 `sns:ListSubscriptionsByTopic`,可讓您建立、刪除和檢視 CloudWatch 警示。
+ `cloudwatch:GetMetricStatistics` – 可讓您建立 CloudWatch 指標運作狀態檢查。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的統計資訊清單。
+ `cloudwatch:GetMetricData` – 可讓您顯示 CloudWatch 運作狀態檢查指標的狀態。
+ `ec2:DescribeVpcs` – 可讓您顯示 VPC 清單。
+ `ec2:DescribeVpcEndpoints` – 可讓您顯示 VPC 端點清單。
+ `ec2:DescribeRegions` – 可讓您顯示可用區域清單。
+ `elasticloadbalancing:DescribeLoadBalancers` – 可讓您建立和更新 **Alias Target (別名目標)** 之值為 Elastic Load Balancing 負載平衡器的別名記錄。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的負載平衡器清單。
+ `elasticbeanstalk:DescribeEnvironments` – 可讓您建立和更新 **Alias Target (別名目標)** 之值為 Elastic Beanstalk 環境的別名記錄。
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的環境清單。
+ `es:ListDomainNames` – 可讓您顯示作用中區域中目前使用者擁有的所有 Amazon OpenSearch Service 網域的名稱。
+ `es:DescribeDomains` – 可讓您取得指定 Amazon OpenSearch Service 網域的網域組態。
+ `lightsail:GetContainerServices` – 可讓您使用Lightsail容器服務來建立和更新別名**目標值**為Lightsail網域的別名記錄。
+ `s3:ListBucket`、`s3:GetBucketLocation` 和 `s3:GetBucketWebsite` – 可讓您建立和更新 **Alias Target (別名目標)** 之值為 Amazon S3 儲存貯體的別名記錄。(只有在儲存貯體設定為網站端點時,您才可以建立 Amazon S3 儲存貯體的別名; `s3:GetBucketWebsite` 會取得所需的組態資訊。)
如果未使用 Route 53 主控台,則不需要這些許可。Route 53 只使用它來取得顯示在主控台中的儲存貯體清單。
+ `sns:ListTopics`、`sns:ListSubscriptionsByTopic`、`cloudwatch:DescribeAlarms` - 可讓您建立、刪除和檢視 CloudWatch 警示。
+ `tag:GetResources` – 可讓您在 資源中顯示標籤。例如,運作狀態檢查的名稱。
+ `apigateway:GET` – 可讓您建立和更新 **Alias Target (別名目標)** 的值為 Amazon API Gateway API 的別名記錄。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:*",
"route53domains:*",
"cloudfront:ListDistributions",
"cloudfront:GetDistributionTenantByDomain",
"cloudfront:GetConnectionGroup",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeRegions",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticbeanstalk:DescribeEnvironments",
"es:ListDomainNames",
"es:DescribeDomains",
"lightsail:GetContainerServices",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketWebsite",
"sns:ListTopics",
"sns:ListSubscriptionsByTopic",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": "arn:aws:apigateway:*::/domainnames"
}
]
}
```
------
## AWS 受管政策:AmazonRoute53ReadOnlyAccess
您可將 `AmazonRoute53ReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 Route 53 資源的唯讀存取權,包括網域註冊和運作狀態檢查,但不包括 VPC Resolver。
**許可詳細資訊**
此政策包含以下許可。
+ `route53:Get*` - 取得路由 Route 53 資源。
+ `route53:List*` - 列出 Route 53 資源。
+ `route53:TestDNSAnswer` - 取得 Route 53 為回應 DNS 要求所傳回的值。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:Get*",
"route53:List*",
"route53:TestDNSAnswer"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53DomainsFullAccess
您可將 `AmazonRoute53DomainsFullAccess` 政策連接到 IAM 身分。
此政策授與 Route 53 網域註冊資源的完整存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53:CreateHostedZone` - 可讓您建立 Route 53 託管區域。
+ `route53domains:*` - 可讓您註冊網域名稱並執行相關操作。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:CreateHostedZone",
"route53domains:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53DomainsReadOnlyAccess
您可將 `AmazonRoute53DomainsReadOnlyAccess` 政策連接到 IAM 身分。
此政策授與 Route 53 網域註冊資源的唯讀存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53domains:Get*` - 可讓您從 Route 53 擷取網域清單。
+ `route53domains:List*` - 可讓您顯示 Route 53 網域的清單。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53domains:Get*",
"route53domains:List*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53ResolverFullAccess
您可將 `AmazonRoute53ResolverFullAccess` 政策連接到 IAM 身分。
此政策授予 Route 53 VPC Resolver 資源的完整存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53resolver:*` – 可讓您在 Route 53 主控台上建立和管理 VPC Resolver 資源。
+ `ec2:DescribeSubnets` - 可讓您列出您的 Amazon VPC 子網路。
+ `ec2:CreateNetworkInterface`、`ec2:DeleteNetworkInterface` h和 `ec2:ModifyNetworkInterfaceAttribute` - 可讓您建立、修改和刪除網路介面。
+ `ec2:DescribeNetworkInterfaces` - 可讓您顯示網路介面清單。
+ `ec2:DescribeSecurityGroups` - 可讓您顯示所有安全群組的清單。
+ `ec2:DescribeVpcs` - 可讓您顯示 VPC 清單。
+ `ec2:DescribeAvailabilityZones` - 可讓您列出可供您使用的區域。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverFullAccess",
"Effect": "Allow",
"Action": [
"route53resolver:*",
"ec2:DescribeSubnets",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterfacePermission",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53ResolverReadOnlyAccess
您可將 `AmazonRoute53ResolverReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 Route 53 VPC Resolver 資源的唯讀存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53resolver:Get*` – 取得 VPC Resolver 資源。
+ `route53resolver:List*` – 可讓您顯示 VPC Resolver 資源的清單。
+ `ec2:DescribeNetworkInterfaces` - 可讓您顯示網路介面清單。
+ `ec2:DescribeSecurityGroups` - 可讓您顯示所有安全群組的清單。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ResolverReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53resolver:Get*",
"route53resolver:List*",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:Route53ResolverServiceRolePolicy
您無法連接 `Route53ResolverServiceRolePolicy` 至您的 IAM 實體。此政策會連接到服務連結角色,允許 Route 53 VPC Resolver 存取 AWS 由 VPC Resolver 使用或管理的服務和資源。如需詳細資訊,請參閱[使用 的服務連結角色 Amazon Route 53 Resolver](using-service-linked-roles.md)。
## AWS 受管政策:AmazonRoute53ProfilesFullAccess
您可將 `AmazonRoute53ProfilesReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 Amazon Route 53 Profile 資源的完整存取權。
**許可詳細資訊**
此政策包含以下許可。
+ `route53profiles` – 可讓您在 Route 53 主控台上建立和管理設定檔資源。
+ `ec2` – 允許主體取得 VPCs的相關資訊。
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesFullAccess",
"Effect": "Allow",
"Action": [
"route53profiles:AssociateProfile",
"route53profiles:AssociateResourceToProfile",
"route53profiles:CreateProfile",
"route53profiles:DeleteProfile",
"route53profiles:DisassociateProfile",
"route53profiles:DisassociateResourceFromProfile",
"route53profiles:UpdateProfileResourceAssociation",
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:PutProfilePolicy",
"route53profiles:ListTagsForResource",
"route53profiles:TagResource",
"route53profiles:UntagResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetFirewallRuleGroup",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig",
"route53resolver:GetResolverRule",
"ec2:DescribeVpcs",
"route53:GetHostedZone"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策:AmazonRoute53ProfilesReadOnlyAccess
您可將 `AmazonRoute53ProfilesReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予 Amazon Route 53 Profile 資源的唯讀存取權。
**許可詳細資訊**
如需許可的詳細資訊,請參閱 [Amazon Route 53 API 許可:動作、資源和條件參考](r53-api-permissions-ref.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRoute53ProfilesReadOnlyAccess",
"Effect": "Allow",
"Action": [
"route53profiles:GetProfile",
"route53profiles:GetProfileAssociation",
"route53profiles:GetProfileResourceAssociation",
"route53profiles:GetProfilePolicy",
"route53profiles:ListProfileAssociations",
"route53profiles:ListProfileResourceAssociations",
"route53profiles:ListProfiles",
"route53profiles:ListTagsForResource",
"route53resolver:GetFirewallConfig",
"route53resolver:GetResolverConfig",
"route53resolver:GetResolverDnssecConfig",
"route53resolver:GetResolverQueryLogConfig"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS 受管政策的 Route 53 更新
檢視自此服務開始追蹤這些變更以來,Route 53 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Route 53 [文件歷程記錄](History.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 更新的政策 | 新增 `cloudwatch:GetMetricData` 、`tag:GetResources`、`es:ListDomainNames`、`cloudfront:GetDistributionTenantByDomain`、 `es:DescribeDomains``cloudfront:GetConnectionGroup`和 的許可`lightsail:GetContainerServices`。這些許可可讓您擷取最多 500 個 CloudWatch 運作狀態檢查指標、最多 100 個運作狀態檢查名稱、取得指定 Amazon OpenSearch Service 網域的網域組態,以及列出作用中區域中目前使用者擁有的所有 Amazon OpenSearch Service 網域名稱、擷取 CloudFront 多租用戶分佈,以及取得Lightsail容器服務。 | 2025 年 6 月 1 日 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) – 更新的政策 | 新增 `GetProfilePolicy`和 的許可`PutProfilePolicy`。這些是僅限許可的 IAM 動作。如果 IAM 主體未授予這些許可,則嘗試使用 AWS RAM 服務共用設定檔時發生錯誤。 | 2024 年 8 月 27 日 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) – 更新的政策 | 新增 的許可`GetProfilePolicy`。這是僅限許可的 IAM 動作。如果 IAM 主體未授予此許可,則嘗試使用 AWS RAM 服務存取設定檔的政策時發生錯誤。 | 2024 年 8 月 27 日 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) – 已更新政策 | 新增陳述式 ID (Sid) 以唯一識別政策。 | 2024 年 8 月 5 日 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) – 已更新政策 | 新增陳述式 ID (Sid) 以唯一識別政策。 | 2024 年 8 月 5 日 |
| [AmazonRoute53ProfilesFullAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesFullAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許完整存取 Amazon Route 53 Profile 資源。 | 2024 年 4 月 22 日 |
| [AmazonRoute53ProfilesReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ProfilesReadOnlyAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許唯讀存取 Amazon Route 53 Profile 資源。 | 2024 年 4 月 22 日 |
| [Route53ResolverServiceRolePolicy](#security-iam-awsmanpol-Route53ResolverServiceRolePolicy) – 新政策 | Amazon Route 53 新增了連接至服務連結角色的新政策,允許 VPC Resolver 存取 Resolver 使用或管理 AWS 的服務和資源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ResolverReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ResolverReadOnlyAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許唯讀存取 VPC Resolver 資源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ResolverFullAccess](#security-iam-awsmanpol-AmazonRoute53ResolverFullAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許完整存取 VPC Resolver 資源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53DomainsReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53DomainsReadOnlyAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許對 Route 53 網域資源的唯讀存取。 | 2021 年 7 月 14 日 |
| [AmazonRoute53DomainsFullAccess](#security-iam-awsmanpol-AmazonRoute53DomainsFullAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許完整存取 Route 53 網域資源。 | 2021 年 7 月 14 日 |
| [AmazonRoute53ReadOnlyAccess](#security-iam-awsmanpol-AmazonRoute53ReadOnlyAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許對 Route 53 資源的唯讀存取。 | 2021 年 7 月 14 日 |
| [AmazonRoute53FullAccess](#security-iam-awsmanpol-AmazonRoute53FullAccess) – 新政策 | Amazon Route 53 新增了新的政策,以允許完整存取 Route 53 資源。 | 2021 年 7 月 14 日 |
| Route 53 開始追蹤變更 | Route 53 開始追蹤其 AWS 受管政策的變更。 | 2021 年 7 月 14 日 |
# 使用 IAM 政策條件進行精細定義存取控制
您可在 Route 53 中指定使用 IAM 政策授予許可時的條件 (請參閱 [存取控制](security-iam.md#access-control))。例如,您可以:
+ 授予許可以允許他人存取單一資源記錄集。
+ 授予許可能讓使用者存取託管區域中特定 DNS 記錄類型的所有資源記錄集,例如 A 和 AAAA 記錄。
+ 授予許可能讓使用者存取其名稱包含特定字串的資源記錄集。
+ 授予許可能讓使用者在 Route 53 主控台上或在使用 [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) API 時僅限執行某些 `CREATE | UPSERT | DELETE` 動作。
+ 授予許可,以允許使用者將私有託管區域與特定 VPC 建立關聯或取消關聯。
+ 授予許可,以允許使用者列出與特定 VPC 相關聯的託管區域。
+ 授予許可,以允許使用者存取以建立新的私有託管區域,並將其與特定 VPC 建立關聯。
+ 授予許可以允許使用者建立或刪除 VPC 關聯授權。
您也可以建立將任何精細權限合併在一起的權限。
## 標準化 Route 53 條件索引鍵值
您在政策條件中輸入的值必須進行格式化或標準化,如下所示:
**如果使用 `route53:ChangeResourceRecordSetsNormalizedRecordNames`:**
+ 所有字母必須小寫。
+ DNS 名稱不可有行尾點號。
+ a—z、0-9、- (連字號)、\$1 (底線) 和 . (用來分隔標籤的句點) 必須使用以下格式的逸出碼:\$1三位數八進位碼。例如,`\052 ` 是字元 \$1 的八進位碼。
**如果使用 `route53:ChangeResourceRecordSetsActions`,則數值可能是下列任何一個值,且必須是大寫:**
+ CREATE
+ UPSERT (更新插入)
+ DELETE
**如果使用 `route53:ChangeResourceRecordSetsRecordTypes`**:
+ 該值必須是大寫字母,並且可能是任何 Route 53 支援的 DNS 記錄類型。如需詳細資訊,請參閱[支援的 DNS 記錄類型](ResourceRecordTypes.md)。
**如果使用 `route53:VPCs`:**
+ 值的格式必須為 `VPCId=,VPCRegion=`。
+ `` 和 的值``必須小寫,例如 `VPCId=vpc-123abc`和 `VPCRegion=us-east-1`。
+ 內容索引鍵和值區分大小寫。
**重要**
您必須遵循這些慣例,才能授予別人許可,進而允許或限制別人能做的動作。此條件索引鍵僅接受 `VPCId`和 `VPCRegion`元素,不支援任何其他 AWS 資源 AWS 帳戶,例如 。
您可以使用 [Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) 或 *IAM 使用者指南*中的[政策模擬器](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)來驗證您的政策是否如預期授予或限制他人權限。將 IAM 政策套用於要執行 Route 53 操作的測試使用者或測試角色也可以驗證許可。
## 指定條件:使用條件金鑰
AWS 為支援 IAM 進行存取控制的所有 AWS 服務提供一組預先定義的條件金鑰 (AWS全條件金鑰)。例如,您可以使用 `aws:SourceIp` 條件金鑰先檢查申請者的 IP 位址,再允許執行動作。如需詳細資訊以及 AWS通用金鑰的清單,請參閱*《IAM 使用者指南》*中的[可用條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
**注意**
Route 53 不支援標籤型條件金鑰。
下表顯示適用於 Route 53 的 Route 53 服務特定條件金鑰。
****
| Route 53 條件金鑰 | API 操作 | 值類型 | Description |
| --- | --- | --- | --- |
| route53:ChangeResourceRecordSetsNormalizedRecordNames | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 多重值 | 在收到 ChangeResourceRecordSets 請求時,顯示 DNS 記錄名稱清單。為了獲得預期反應,IAM 政策中的 DNS 名稱必須依照下列方式進行標準化: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:ChangeResourceRecordSetsRecordTypes | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 多重值 | 收到 `ChangeResourceRecordSets` 請求時,顯示 DNS 記錄類型清單。 `ChangeResourceRecordSetsRecordTypes` 可能是 Route 53 支援的任何 DNS 記錄類型。如需詳細資訊,請參閱[支援的 DNS 記錄類型](ResourceRecordTypes.md)。政策的所有內容都必須以大寫輸入。 |
| route53:ChangeResourceRecordSetsActions | [ChangeResourceRecordSets](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ChangeResourceRecordSets.html) | 多重值 | 收到 `ChangeResourceRecordSets` 請求時,顯示動作清單。 `ChangeResourceRecordSetsActions` 可能是下列任何一個值 (必須是大寫): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/specifying-conditions-route53.html) |
| route53:VPCs | [AssociateVPCWithHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_AssociateVPCWithHostedZone.html) [DisassociateVPCFromHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisassociateVPCFromHostedZone.html) [ListHostedZonesByVPC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ListHostedZonesByVPC.html) [CreateHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateHostedZone.html) [CreateVPCAssociationAuthorization](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateVPCAssociationAuthorization.html) [DeleteVPCAssociationAuthorization](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteVPCAssociationAuthorization.html) | 多重值 | 代表 AssociateVPCWithHostedZone、DisassociateVPCFromHostedZone、CreateVPCAssociationAuthorization、、 ListHostedZonesByVPC CreateHostedZone和 請求中的 VPCs 清單DeleteVPCAssociationAuthorization,格式為 "VPCId=,VPCRegion= |
## 範例政策:使用條件進行精細定義存取
本節中的每個範例都會將 Effect 子句設定為 Allow,而且只指定允許的動作、資源及參數。只允許存取 IAM 政策中明確列出的項目。
在某些情況下,有可能會重新撰寫這些政策,讓它們成為拒絕類型 (即,將 Effect 子句設定為 Deny,並反轉政策中的所有邏輯)。不過,建議您避免使用拒絕類型政策,因為它們與允許類型政策相較之下會較難正確地撰寫。對於需要文字正規化的 Route 53 而言尤其如此。
**透過授予許可來限制他人對含特定名稱之 DNS 記錄的存取行為**
下列許可政策授予的權限可允許他人對 example.com 和 marketing.example.com 上的託管區域 Z12345 執行 `ChangeResourceRecordSets` 動作。它使用 `route53:ChangeResourceRecordSetsNormalizedRecordNames` 條件金鑰來限制使用者僅能對符合指定名稱的記錄進行處置動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com", "marketing.example.com"]
}
}
}
]
}
```
------
`ForAllValues:StringEquals` 是適用於多值金鑰的 IAM 條件運算子。上述政策中的條件僅在 `ChangeResourceRecordSets` 的所有變更都含有 example.com 的 DNS 名稱時才允許執行。如需詳細資訊,請參閱《IAM 使用者指南》中的 [IAM 條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)和[具有多個索引鍵或值的 IAM 條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)。
若要實作名稱中含有特定尾碼的權限,可在具有條件運算子 `StringLike` 或 `StringNotLike` 的政策中使用 IAM 萬用字元 (\$1)。以下策略會在當 `ChangeResourceRecordSets` 操作的所有變更都具有以「-beta.example.com」結尾的 DNS 名稱時允許執行。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringLike":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["*-beta.example.com"]
}
}
}
]
}
```
------
**注意**
IAM 萬用字元與網域名稱萬用字元不同。如需有關在網域名稱中使用萬用字元的方式,請參閱下列範例。
**授予他人可限制其對含萬用字元之網域名稱的 DNS 記錄進行存取的許可權限**
下列許可政策授予的權限可允許他人對 example.com 上的託管區域 Z12345 執行 `ChangeResourceRecordSets` 動作。它會使用 `route53:ChangeResourceRecordSetsNormalizedRecordNames` 條件金鑰來限制使用者,使其只能對符合 \$1.example.com 的記錄採取處置動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["\\052.example.com"]
}
}
}
]
}
```
------
`\052 ` 是 DNS 名稱中字元 \$1 的八進位碼,而 `\052` 中的 `\` 則逸出為 `\\`,以便符合 JSON 語法。
**透過授予許可權限來限制他人對特定 DNS 記錄的存取行為**
下列許可政策授予的權限可允許他人對 example.com 上的託管區域 Z12345 執行 `ChangeResourceRecordSets` 動作。它使用三個條件金鑰的組合來限制使用者動作,只允許使用者建立或編輯具有特定 DNS 名稱和類型的 DNS 記錄。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsNormalizedRecordNames": ["example.com"],
"route53:ChangeResourceRecordSetsRecordTypes": ["MX"],
"route53:ChangeResourceRecordSetsActions": ["CREATE", "UPSERT"]
}
}
}
]
}
```
------
**授予許可權限以限制使用者的存取行為,使用者只能建立和編輯指定類型的 DNS 記錄**
下列許可政策授予的權限可允許他人對 example.com 上的託管區域 Z12345 執行 `ChangeResourceRecordSets` 動作。它使用 `route53:ChangeResourceRecordSetsRecordTypes` 條件金鑰來限制使用者僅能對符合指定類型 (A 和 AAAA) 的記錄進行處置動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/Z11111112222222333333",
"Condition": {
"ForAllValues:StringEquals":{
"route53:ChangeResourceRecordSetsRecordTypes": ["A", "AAAA"]
}
}
}
]
}
```
------
**授予許可,指定 IAM 主體可在其中操作的 VPC**
下列許可政策授予許可,允許 vpc-id `AssociateVPCWithHostedZone` 所指定 VPC 上的 `DisassociateVPCFromHostedZone``CreateVPCAssociationAuthorization`、、`CreateHostedZone`、、 和 `ListHostedZonesByVPC``DeleteVPCAssociationAuthorization`動作。
**重要**
條件值的格式必須為 `VPCId=,VPCRegion=`。如果您在條件值中指定 VPC ARN,則條件索引鍵將不會生效。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"route53:*"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"route53:VPCs": [
"VPCId=,VPCRegion="
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Allow",
"Action": "ec2:DescribeVpcs",
"Resource": "*"
}
]
}
```
------
# Amazon Route 53 API 許可:動作、資源和條件參考
當您設定[存取控制](security-iam.md#access-control)和撰寫可連接到 IAM 身分的許可政策 (以身分為基礎的政策) 時[,您可以使用 Route 53 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53.html)清單、[Route 53 網域的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53domains.html)、[VPC Resolver 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53resolver.html),以及 [Amazon Route 53 Profiles 的動作、資源和條件索引鍵,以便與服務授權參考中的 VPCs 共用 DNS 設定](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonroute53profilesenablessharingdnssettingswithvpcs.html)。 **頁面包含每個 Amazon Route 53 API 動作、您必須授予許可存取權的動作,以及您必須授予存取權 AWS 的資源。您在政策的 `Action` 欄位中指定動作,然後在政策的 `Resource` 欄位中指定資源值。
您可以在 Route 53 政策中使用 AWS整體條件金鑰來表達條件。如需 AWS全系列金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
**注意**
授與存取權時,託管區域和 Amazon VPC 必須屬於相同分割區。分割區是 的群組 AWS 區域。每個 的範圍 AWS 帳戶 都是一個分割區。
以下是支援的分割區:
`aws` - AWS 區域
`aws-cn` - 中國區域
`aws-us-gov` - AWS GovCloud (US) Region
如需詳細資訊,請參閱《*AWS 一般參考*》中的「[存取管理](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」。
**注意**
若要指定動作,請使用適用的字首 (`route53`、`route53domains` 或 `route53resolver`) 後接 API 操作名稱,例如:
`route53:CreateHostedZone`
`route53domains:RegisterDomain`
`route53resolver:CreateResolverEndpoint`