Découvrez les différents rôles et autorisations IAM AWS dont vous avez besoin pour configurer le DNS pour les adresses IP privées entre les deux comptes AWS. Ces rôles ou autorisations assurent que les requêtes DNS sont résolues de façon sécurisée entre les comptes AWS, tout en appliquant un contrôle d\'accès adéquat.

Remarque :

Vérifiez que les VPC dans les deux comptes sont correctement appairés. Pour plus d\'informations sur l\'appairage de VPC, voir Mise en place de l\'appairage de VPC entre les comptes AWS.

Autorisations du compte Control Room

L\'utilisateur ou le rôle IAM nécessite les autorisations suivantes dans le compte Control Room AWS :

Autorisations Route 53
  • route53:CreateHostedZone - Pour créer une nouvelle zone hébergée.
  • route53:ListHostedZones - Pour lister toutes les zones hébergées.
  • route53:GetHostedZone - Pour récupérer les détails d\'une zone hébergée spécifique.
  • route53:ChangeResourceRecordSets - Pour créer, mettre à jour et supprimer des enregistrements DNS.
  • route53:ListResourceRecordSets - Pour lister les enregistrements DNS dans une zone hébergée.
  • route53:CreateVPCAssociationAuthorization - Pour autoriser un VPC du compte Tâche API Infrastructure AWS à s\'associer à une zone hébergée du compte Control Room AWS.
  • route53:ListVPCAssociationAuthorizations - Pour répertorier les autorisations d\'association de VPC existantes.
Autorisations VPC
ec2:DescribeVpcs - Pour extraire des informations sur un ou plusieurs clouds privés virtuels (VPC).
Autorisations ACM
  • acm:RequestCertificate - Pour demander un nouveau certificat.
  • acm:DescribeCertificate - Pour obtenir les détails d\'un certificat spécifique.
  • acm:ListCertificates - Pour répertorier tous les certificats.
Autorisations de l\'équilibreur de charge EC2
  • elasticloadbalancing:DescribeLoadBalancers - Pour extraire les détails de tous les équilibreurs de charge.
  • elasticloadbalancing:CreateListener - Pour créer un nouvel écouteur pour un équilibreur de charge.
  • elasticloadbalancing:ModifyListener - Pour modifier un écouteur existant.
  • elasticloadbalancing:DescribeListeners - Pour extraire les détails de tous les écouteurs.
Voici un exemple de stratégie :
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Route53Permissions",
      "Effect": "Allow",
      "Action": [
        "route53:CreateHostedZone",
        "route53:ListHostedZones",
        "route53:GetHostedZone",
        "route53:ChangeResourceRecordSets",
        "route53:ListResourceRecordSets",
        "route53:CreateVPCAssociationAuthorization",
        "route53:ListVPCAssociationAuthorizations"
      ],
      "Resource": ""
    },
    {
      "Sid": "AllowDescribeVpcs",
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcs",
      "Resource": ""
    },
    {
      "Sid": "ACMPermissions",
      "Effect": "Allow",
      "Action": [
        "acm:RequestCertificate",
        "acm:DescribeCertificate",
        "acm:ListCertificates"
      ],
      "Resource": ""
    },
    {
      "Sid": "ELBPermissions",
      "Effect": "Allow",
      "Action": [
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:CreateListener",
        "elasticloadbalancing:ModifyListener",
        "elasticloadbalancing:DescribeListeners"
      ],
      "Resource": ""
    }
  ]
}

Saisissez vos Amazon Resource Names (ARN) dans le paramètre Ressource.

Autorisations du compte Tâche API

L\'utilisateur ou le rôle IAM nécessite les autorisations suivantes dans le compte Tâche API AWS :

Autorisations Route 53
route53:AssociateVPCWithHostedZone - Pour associer un VPC à une zone hébergée. Cette autorisation vous permet d\'associer le VPC dans le compte Tâche API AWS à la zone hébergée privée dans le compte Control Room AWS.
Autorisations VPC
ec2:DescribeVpcs - Pour extraire des informations sur un ou plusieurs clouds privés virtuels (VPC).
Voici un exemple de stratégie :
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Route53Permissions",
      "Effect": "Allow",
      "Action": "route53:AssociateVPCWithHostedZone ",
      "Resource": ""
    },
    {
      "Sid": "AllowDescribeVpcs",
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcs",
      "Resource": ""
    }
  ]
}

Saisissez vos Amazon Resource Names (ARN) dans le paramètre Ressource.

Stratégie de relation de confiance

Pour les opérations inter-comptes, les rôles IAM ou les utilisateurs dans les deux comptes doivent configurer les relations de confiance nécessaires. Une relation de confiance est une politique que vous ajoutez à un rôle IAM et qui spécifie les entités ou services de confiance pouvant assumer ce rôle IAM. Suivez l\'exemple et créez une stratégie de relation de confiance dans la stratégie IAM du compte Control Room pour permettre à un rôle IAM du compte Tâche API d\'assumer un rôle IAM dans le compte Control Room.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT_B_ID:role/RoleNameInAccountB"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

ACCOUNT_B_ID est le nom du compte et RoleNameInAccountB est le rôle IAM dans le compte Tâche API.