适用于 Amazon Route 53 的 Amazon 托管策略 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

适用于 Amazon Route 53 的 Amazon 托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略

Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon 托管策略:AmazonRoute53FullAccess

您可以将 AmazonRoute53FullAccess 策略附加得到 IAM 身份。

此策略授予对 Route 53 资源的完全访问权限,包括域注册和运行状况检查,但不包括 Resolver。

权限详细信息

此策略包含以下权限。

  • route53:* - 您可以执行除以下操作之外的所有 Route 53 操作:

    • 创建和更新 Alias Target(别名目标)值为 CloudFront 分配、Elastic Load Balancing 负载均衡器、Elastic Beanstalk 环境或 Amazon S3 存储桶的别名记录。(通过这些权限,您可以创建其别名目标值为同一托管区域中的另一个记录的别名记录。)

    • 使用私有托管区域。

    • 使用域。

    • 创建、删除和查看 CloudWatch 警报。

    • 在 Route 53 控制台中呈现 CloudWatch 指标。

  • route53domains:* - 可让您使用域。

  • cloudfront:ListDistributions - 可让您创建和更新 Alias Target(别名目标)值为 CloudFront 分配的别名记录。

    如果您未使用 Route 53 控制台,则不需要此权限。Route 53 仅用它来获取要在控制台中显示的分配的列表。

  • elasticloadbalancing:DescribeLoadBalancers - 可让您创建和更新 Alias Target(别名目标)值为 Elastic Load Balancing 负载均衡器的别名记录。

    如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的负载均衡器的列表。

  • elasticbeanstalk:DescribeEnvironments - 可让您创建和更新 Alias Target(别名目标)值为 Elastic Beanstalk 环境的别名记录。

    如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的环境的列表。

  • s3:ListBuckets3:GetBucketLocations3:GetBucketWebsite - 可让您创建和更新 Alias Target(别名目标)值为 Amazon S3 存储桶的别名记录。(只有将存储桶配置为网站终端节点时,才可以创建 Amazon S3 存储桶的别名;s3:GetBucketWebsite 用于获取所需的配置信息。)

    如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用这些权限来获取要在控制台中显示的存储桶的列表。

  • ec2:DescribeVpcs - 可让您显示 VPC 列表。

  • ec2:DescribeVpcEndpoints - 可让您显示 VPC 终端节点列表。

  • ec2:DescribeRegions - 可让您显示可用区列表。

  • sns:ListTopicssns:ListSubscriptionsByTopiccloudwatch:DescribeAlarms – 可让您创建、删除和查看 CloudWatch 警报。

  • cloudwatch:GetMetricStatistics - 可让您创建 CloudWatch 指标的运行状况检查。

    如果您未使用 Route 53 控制台,则不需要这些权限。Route 53 仅用它来获取要在控制台中显示的统计数据。

  • apigateway:GET - 可让您创建和更新 Alias Target(别名目标)值为 Amazon API Gateway API 的别名记录。

    如果您未使用 Route 53 控制台,则不需要此权限。Route 53 仅用它来获取要在控制台中显示的 API 的列表。

有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:*", "route53domains:*", "cloudfront:ListDistributions", "elasticloadbalancing:DescribeLoadBalancers", "elasticbeanstalk:DescribeEnvironments", "s3:ListBucket", "s3:GetBucketLocation", "s3:GetBucketWebsite", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeRegions", "sns:ListTopics", "sns:ListSubscriptionsByTopic", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricStatistics" ], "Resource": "*" }, { "Effect": "Allow", "Action": "apigateway:GET", "Resource": "arn:aws:apigateway:*::/domainnames" } ] }

Amazon 托管策略:AmazonRoute53ReadOnlyAccess

您可以将 AmazonRoute53ReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予对 Route 53 资源的只读访问权限,包括域注册和运行状况检查,但不包括 Resolver。

权限详细信息

此策略包含以下权限。

  • route53:Get* - 获取 Route 53 资源。

  • route53:List* - 列出 Route 53 资源。

  • route53:TestDNSAnswer - 获取 Route 53 为响应 DNS 请求而返回的值。

有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:Get*", "route53:List*", "route53:TestDNSAnswer" ], "Resource": [ "*" ] } ] }

Amazon 托管策略:AmazonRoute53DomainsFullAccess

您可以将 AmazonRoute53DomainsFullAccess 策略附加得到 IAM 身份。

此策略授予对 Route 53 域注册资源的完全访问权限。

权限详细信息

此策略包含以下权限。

  • route53:CreateHostedZone - 可让您创建 Route 53 托管区域。

  • route53domains:* - 可让您注册域名并执行相关操作。

有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:CreateHostedZone", "route53domains:*" ], "Resource": [ "*" ] } ] }

Amazon 托管策略:AmazonRoute53DomainsReadOnlyAccess

您可以将 AmazonRoute53DomainsReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予对 Route 53 域注册资源的只读访问权限。

权限详细信息

此策略包含以下权限。

  • route53domains:Get* - 可让您从 Route 53 中检索域列表。

  • route53domains:List* - 可让您显示 Route 53 域的列表。

有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53domains:Get*", "route53domains:List*" ], "Resource": [ "*" ] } ] }

Amazon 托管策略:AmazonRoute53ResolverFullAccess

您可以将 AmazonRoute53ResolverFullAccess 策略附加得到 IAM 身份。

此策略授予对 Route 53 Resolver 资源的完全访问权限。

权限详细信息

此策略包含以下权限。

  • route53resolver:* - 可让您在 Route 53 控制台上创建和管理 Resolver 资源。

  • ec2:DescribeSubnets - 可让您列出 Amazon VPC 子网。

  • ec2:CreateNetworkInterfaceec2:DeleteNetworkInterfaceec2:ModifyNetworkInterfaceAttribute - 可让您创建、修改和删除网络接口。

  • ec2:DescribeNetworkInterfaces - 可让您显示网络接口列表。

  • ec2:DescribeSecurityGroups - 可让您显示所有安全组的列表。

  • ec2:DescribeVpcs - 可让您显示 VPC 列表。

  • ec2:DescribeAvailabilityZones - 可让您列出可供您使用的区域。

有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53resolver:*", "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaces", "ec2:CreateNetworkInterfacePermission", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones" ], "Resource": [ "*" ] } ] }

Amazon 托管策略:AmazonRoute53ResolverReadOnlyAccess

您可以将 AmazonRoute53ResolverReadOnlyAccess 策略附加得到 IAM 身份。

此策略授予对 Route 53 Resolver 资源的只读访问权限。

权限详细信息

此策略包含以下权限。

  • route53resolver:Get* – 可让您检索 Resolver 资源的列表。

  • route53resolver:List* – 可让您显示 Resolver 资源的列表。

  • ec2:DescribeNetworkInterfaces - 可让您显示网络接口列表。

  • ec2:DescribeSecurityGroups - 可让您显示所有安全组的列表。

有关权限的更多信息,请参阅 Amazon Route 53 API 权限:操作、资源和条件参考

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53resolver:Get*", "route53resolver:List*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": [ "*" ] } ] }

Amazon 托管策略:Route53ResolverServiceRolePolicy

您不能将 Route53ResolverServiceRolePolicy 附加到自己的 IAM 实体。此策略附加到服务相关角色,允许 Route 53 Resolver 访问 Resolver 使用或管理的 Amazon 服务和资源。有关更多信息,请参阅对 Amazon Route 53 Resolver 使用服务相关角色

Route 53 对 Amazon 托管策略的更新

查看有关 Route 53 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提醒,请订阅 Route 53 文档历史记录页面上的 RSS 源。

更改 说明 日期

Route 53 已开启跟踪更改

Route 53 为其 Amazon 托管策略开启了跟踪更改。

2021 年 7 月 14 日