我有一些机器会自动更新 Route53 中的 DNS。到目前为止,Route53 中只有两个区域,并且它们都以这种方式更新,因此我有一个 IAM 策略,它说“blah blah blah Resource: "*"
”,一切都很好。现在我想添加第三个区域,并且不是让那些机器把它弄乱——所以我需要将资源:改为一些具体的东西。
亚马逊告诉我这个资源规范的值
应遵循以下格式:
arn:aws:route53:::<resource>/<id>
。多个值以逗号分隔。
我不<resource>
知道如何确定和的值<id>
。我在哪里可以找到它们?我可以在 Route53 Web GUI 中看到“托管区域 ID”,并假设它是相关的,但不知道具体是如何相关的。
答案1
这是使用 IAM 控制用户访问,特别是在Route 53 ARN:
资源可以是
hostedzone
或change
,ID 是托管区域或变更的 ID。以下分别是托管区域 ARN 和更改 ARN 的示例。
arn:aws:route53:::hostedzone/Z148QEXAMPLE8V arn:aws:route53:::change/C2RDJ5EXAMPLE2
您可以使用通配符 (*) 代替 ID。[...]
请求的 ID 列Hosted Zone ID
在顶层的列中托管区域摘要53 号公路部分内AWS 管理控制台。或者,您可以像往常一样通过 API 调用列出您的托管区域(具体来说获取列表托管区域),而响应中则依次包含Id
每个元素的相应元素。HostedZone
答案2
是<resource>
。hostedzone
参考文档将其称为“资源类型”。
这<id>
是托管区域详细信息中的“托管区域 ID”。可视化策略编辑器也将其称为“资源 ID”。
这些不应与不属于 ARN 的“操作”或“条件键”相混淆。
Route 53 开发人员指南中发布了一组出色的策略示例: