Erfahren Sie mehr über die verschiedenen AWS-IAM-Rollen und Berechtigungen, die Sie benötigen, um DNS für private IPs zwischen den beiden AWS-Konten zu konfigurieren. Diese Rollen oder Berechtigungen stellen sicher, dass DNS-Abfragen über AWS-Konten hinweg mit geeigneter Zugriffskontrolle sicher aufgelöst werden.

Anmerkung:

Überprüfen Sie, ob die VPCs in beiden Konten ordnungsgemäß peeren. Weitere Informationen zum VPC-Peering finden Sie unter Einrichten des VPC-Peerings zwischen den AWS-Konten.

Control Room-Kontoberechtigungen

Der IAM-Benutzer oder die IAM-Rolle benötigt die folgenden Berechtigungen im Control Room-AWS-Konto:

Route 53-Berechtigungen
  • route53:CreateHostedZone - Um eine neue gehostete Zone zu erstellen.
  • route53:ListHostedZones - Um alle gehosteten Zonen aufzulisten.
  • route53:GetHostedZone - Um die Details einer bestimmten gehosteten Zone abzurufen.
  • route53:ChangeResourceRecordSets - Zum Erstellen, Aktualisieren und Löschen von DNS-Einträgen.
  • route53:ListResourceRecordSets - Um DNS-Einträge in einer gehosteten Zone aufzulisten.
  • route53:CreateVPCAssociationAuthorization - Um eine VPC aus dem API-Aufgabe-Infrastruktur-AWS-Konto zu autorisieren, sich mit einer gehosteten Zone des Control Room-AWS-Kontos zu verbinden.
  • route53:ListVPCAssociationAuthorizations - Zum Auflisten vorhandener VPC-Zuordnungsberechtigungen.
VPC-Berechtigungen
ec2:DescribeVpcs - Um Informationen über ein oder mehrere Virtual Private Clouds (VPCs) abzurufen.
ACM-Berechtigungen
  • acm:RequestCertificate - Um ein neues Zertifikat anzufordern.
  • acm:DescribeCertificate - Um Details eines bestimmten Zertifikats abzurufen.
  • acm:ListCertificates - Um alle Zertifikate aufzulisten.
EC2 Load Balancer-Berechtigungen
  • elasticloadbalancing:DescribeLoadBalancers - Um Details aller Load Balancer abzurufen.
  • elasticloadbalancing:CreateListener - Um einen neuen Listener für einen Load Balancer zu erstellen.
  • elasticloadbalancing:ModifyListener - Um einen vorhandenen Listener zu ändern.
  • elasticloadbalancing:DescribeListeners - Um Details aller Listener abzurufen.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Route53Permissions",
      "Effect": "Allow",
      "Action": [
        "route53:CreateHostedZone",
        "route53:ListHostedZones",
        "route53:GetHostedZone",
        "route53:ChangeResourceRecordSets",
        "route53:ListResourceRecordSets",
        "route53:CreateVPCAssociationAuthorization",
        "route53:ListVPCAssociationAuthorizations"
      ],
      "Resource": ""
    },
    {
      "Sid": "AllowDescribeVpcs",
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcs",
      "Resource": ""
    },
    {
      "Sid": "ACMPermissions",
      "Effect": "Allow",
      "Action": [
        "acm:RequestCertificate",
        "acm:DescribeCertificate",
        "acm:ListCertificates"
      ],
      "Resource": ""
    },
    {
      "Sid": "ELBPermissions",
      "Effect": "Allow",
      "Action": [
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:CreateListener",
        "elasticloadbalancing:ModifyListener",
        "elasticloadbalancing:DescribeListeners"
      ],
      "Resource": ""
    }
  ]
}

Geben Sie Ihre Amazon Resource Names (ARN) im Resource-Parameter ein.

API-Aufgabe-Kontoberechtigungen

Der IAM-Benutzer oder die IAM-Rolle benötigt die folgenden Berechtigungen im API-Aufgabe-AWS-Konto:

Route 53-Berechtigungen
route53:AssociateVPCWithHostedZone - Um eine VPC mit einer gehosteten Zone zu verknüpfen. Diese Berechtigung ermöglicht es Ihnen, die VPC im API-Aufgabe-AWS-Konto mit der privaten gehosteten Zone im Control Room AWS-Konto zu verknüpfen.
VPC-Berechtigungen
ec2:DescribeVpcs - Um Informationen über ein oder mehrere Virtual Private Clouds (VPCs) abzurufen.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Route53Permissions",
      "Effect": "Allow",
      "Action": "route53:AssociateVPCWithHostedZone ",
      "Resource": ""
    },
    {
      "Sid": "AllowDescribeVpcs",
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcs",
      "Resource": ""
    }
  ]
}

Geben Sie Ihre Amazon Resource Names (ARN) im Resource-Parameter ein.

Vertrauensbeziehungsrichtlinie

Für bereichsübergreifende Vorgänge müssen IAM-Rollen oder die Benutzer in beiden Konten die erforderlichen Vertrauensstellungen konfigurieren. Eine Vertrauensbeziehung ist eine Richtlinie, die Sie einer IAM-Rolle hinzufügen und die vertrauenswürdigen Entitäten oder Dienste angeben, die diese IAM-Rolle übernehmen können. Folgen Sie dem Beispiel und erstellen Sie eine Vertrauensbeziehungsrichtlinie in der Control Room-Konto-IAM-Richtlinie, um einer IAM-Rolle im API-Aufgabe-Konto zu erlauben, eine IAM-Rolle im Control Room-Konto zu übernehmen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT_B_ID:role/RoleNameInAccountB"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wo ACCOUNT_B_ID der Kontoname ist und RoleNameInAccountB die IAM-Rolle im API-Aufgabe-Konto ist.