Conozca los diferentes roles y permisos de IAM de AWS que necesita para configurar el DNS para IP privadas entre las dos cuentas de AWS. Estos roles o permisos garantizan que las consultas del DNS se resuelvan de forma segura entre las cuentas de AWS con el control de acceso adecuado.

Nota:

Verifique que las VPC de ambas cuentas estén correctamente emparejadas. Para obtener más información sobre el emparejamiento de VPC, consulte Configuración del emparejamiento de VPC entre las cuentas de AWS.

Permisos de cuenta para la Control Room

El usuario o rol de IAM requiere los siguientes permisos de cuenta para la Control Room de AWS:

Permisos de Route 53
  • route53:CreateHostedZone: para crear una nueva zona alojada.
  • route53:ListHostedZones: para enumerar todas las zonas alojadas.
  • route53:GetHostedZone: para obtener los detalles de una zona alojada específica.
  • route53:ChangeResourceRecordSets: para crear, actualizar y eliminar registros DNS.
  • route53:ListResourceRecordSets: para enumerar los registros DNS de una zona alojada.
  • route53:CreateVPCAssociationAuthorization: para autorizar que una VPC de la infraestructura de la cuenta de Tarea API de AWS se asocie con una zona alojada de la cuenta de la Control Room de AWS.
  • route53:ListVPCAssociationAuthorizations: para enumerar las autorizaciones de asociación de VPC existentes.
Permisos de VPC
ec2:DescribeVpcs: para obtener información sobre una o más nubes privadas virtuales (VPC).
Permisos de ACM
  • acm:RequestCertificate: para solicitar un nuevo certificado.
  • acm:DescribeCertificate: para obtener detalles de un certificado específico.
  • acm:ListCertificates: para enumerar todos los certificados.
Permisos de balanceador de carga EC2
  • elasticloadbalancing:DescribeLoadBalancers: para obtener detalles de todos los balanceadores de carga.
  • elasticloadbalancing:CreateListener: para crear un nuevo receptor para un balanceador de carga.
  • elasticloadbalancing:ModifyListener: para modificar un receptor existente.
  • elasticloadbalancing:DescribeListeners: para obtener detalles de todos los receptores.
A continuación se brinda un ejemplo de una política:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Route53Permissions",
      "Effect": "Allow",
      "Action": [
        "route53:CreateHostedZone",
        "route53:ListHostedZones",
        "route53:GetHostedZone",
        "route53:ChangeResourceRecordSets",
        "route53:ListResourceRecordSets",
        "route53:CreateVPCAssociationAuthorization",
        "route53:ListVPCAssociationAuthorizations"
      ],
      "Resource": ""
    },
    {
      "Sid": "AllowDescribeVpcs",
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcs",
      "Resource": ""
    },
    {
      "Sid": "ACMPermissions",
      "Effect": "Allow",
      "Action": [
        "acm:RequestCertificate",
        "acm:DescribeCertificate",
        "acm:ListCertificates"
      ],
      "Resource": ""
    },
    {
      "Sid": "ELBPermissions",
      "Effect": "Allow",
      "Action": [
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:CreateListener",
        "elasticloadbalancing:ModifyListener",
        "elasticloadbalancing:DescribeListeners"
      ],
      "Resource": ""
    }
  ]
}

Ingrese sus nombres de recursos de Amazon (ARN) en el parámetro Recurso.

Permisos de cuenta de Tarea API

El usuario o rol de IAM requiere los siguientes permisos en la cuenta de Tarea API de AWS:

Permisos de Route 53
route53:AssociateVPCWithHostedZone: para asociar una VPC con una zona alojada. Esta autorización le permite asociar la VPC de la cuenta de Tarea API de AWS con la zona alojada privada de la cuenta de la Control Room de AWS.
Permisos de VPC
ec2:DescribeVpcs: para obtener información sobre una o más nubes privadas virtuales (VPC).
A continuación se brinda un ejemplo de una política:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Route53Permissions",
      "Effect": "Allow",
      "Action": "route53:AssociateVPCWithHostedZone ",
      "Resource": ""
    },
    {
      "Sid": "AllowDescribeVpcs",
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcs",
      "Resource": ""
    }
  ]
}

Ingrese sus nombres de recursos de Amazon (ARN) en el parámetro Recurso.

Política de relación de confianza

Para las operaciones entre cuentas, los roles de IAM o los usuarios de ambas cuentas deben configurar las relaciones de confianza necesarias. Una relación de confianza es una política que agrega a un rol de IAM y especifica las entidades o servicios confiables que pueden asumir ese rol de IAM. Siga el ejemplo y cree una política de relación de confianza en la política de IAM de la cuenta de la Control Room para permitir que un rol de IAM de la cuenta de Tarea API asuma un rol de IAM en la cuenta de la Control Room.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT_B_ID:role/RoleNameInAccountB"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Donde ACCOUNT_B_ID es el nombre de la cuenta y RoleNameInAccountB es el rol de IAM de la cuenta de Tarea API.