Saiba mais sobre as diferentes funções e permissões do IAM da AWS de que você precisa para configurar o DNS para IPs privados entre as duas contas AWS. Essas funções ou permissões garantem que as consultas de DNS sejam resolvidas com segurança nas contas da AWS com o controle de acesso adequado.

Nota:

Verifique se as VPCs em ambas as contas estão conectadas por peering corretamente. Para mais informações sobre peering de VPC, consulte Configuração do peering de VPC entre as contas AWS.

Permissões da conta da Control Room

O usuário ou função de IAM precisa das seguintes permissões na conta AWS da Control Room:

Permissões do Route 53
  • route53:CreateHostedZone: para criar uma nova zona hospedada.
  • route53:ListHostedZones: para listar todas as zonas hospedadas.
  • route53:GetHostedZone: para recuperar os detalhes de uma zona hospedada específica.
  • route53:ChangeResourceRecordSets: para criar, atualizar e excluir registros DNS.
  • route53:ListResourceRecordSets: para listar os registros DNS em uma zona hospedada.
  • route53:CreateVPCAssociationAuthorization: para autorizar uma VPC da infraestrutura da conta AWS da Tarefa de API a se associar a uma zona hospedada da conta AWS da Control Room.
  • route53:ListVPCAssociationAuthorizations: para listar as autorizações de associação de VPC existentes.
Permissões de VPC
ec2:DescribeVpcs: para recuperar informações sobre uma ou mais nuvens privadas virtuais (VPCs).
Permissões do ACM
  • acm:RequestCertificate: para solicitar um novo certificado.
  • acm:DescribeCertificate: para recuperar detalhes de um certificado específico.
  • acm:ListCertificates: para listar todos os certificados.
Permissões do balanceador de carga EC2
  • elasticloadbalancing:DescribeLoadBalancers: para recuperar detalhes de todos os balanceadores de carga.
  • elasticloadbalancing:CreateListener: para criar um novo ouvinte para um balanceador de carga.
  • elasticloadbalancing:ModifyListener: para modificar um ouvinte existente.
  • elasticloadbalancing:DescribeListeners: para recuperar detalhes de todos os ouvintes.
Veja a seguir um exemplo de política:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Route53Permissions",
      "Effect": "Allow",
      "Action": [
        "route53:CreateHostedZone",
        "route53:ListHostedZones",
        "route53:GetHostedZone",
        "route53:ChangeResourceRecordSets",
        "route53:ListResourceRecordSets",
        "route53:CreateVPCAssociationAuthorization",
        "route53:ListVPCAssociationAuthorizations"
      ],
      "Resource": ""
    },
    {
      "Sid": "AllowDescribeVpcs",
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcs",
      "Resource": ""
    },
    {
      "Sid": "ACMPermissions",
      "Effect": "Allow",
      "Action": [
        "acm:RequestCertificate",
        "acm:DescribeCertificate",
        "acm:ListCertificates"
      ],
      "Resource": ""
    },
    {
      "Sid": "ELBPermissions",
      "Effect": "Allow",
      "Action": [
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:CreateListener",
        "elasticloadbalancing:ModifyListener",
        "elasticloadbalancing:DescribeListeners"
      ],
      "Resource": ""
    }
  ]
}

Insira seus nomes de recursos da Amazon (ARN) no parâmetro Recurso.

Permissões da conta da Tarefa de API

O usuário ou função de IAM precisa das seguintes permissões na conta AWS da Tarefa de API:

Permissões do Route 53
route53:AssociateVPCWithHostedZone: para associar uma VPC a uma zona hospedada. Essa permissão permite associar a VPC na conta AWS da Tarefa de API à zona hospedada privada na conta AWS da Control Room.
Permissões de VPC
ec2:DescribeVpcs: para recuperar informações sobre uma ou mais nuvens privadas virtuais (VPCs).
Veja a seguir um exemplo de política:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Route53Permissions",
      "Effect": "Allow",
      "Action": "route53:AssociateVPCWithHostedZone ",
      "Resource": ""
    },
    {
      "Sid": "AllowDescribeVpcs",
      "Effect": "Allow",
      "Action": "ec2:DescribeVpcs",
      "Resource": ""
    }
  ]
}

Insira seus nomes de recursos da Amazon (ARN) no parâmetro Recurso.

Política de relacionamento de confiança

Para operações entre contas, as funções IAM ou os usuários em ambas as contas devem configurar as relações de confiança necessárias. Uma relação de confiança é uma política que você adiciona a uma função IAM e especifica as entidades ou serviços confiáveis que podem assumir essa função IAM. Siga o exemplo e crie uma política de relacionamento de confiança na política do IAM da conta da Control Room para permitir que uma função IAM na conta da Tarefa de API assuma uma função IAM na conta da Control Room.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT_B_ID:role/RoleNameInAccountB"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Onde ACCOUNT_B_ID é o nome da conta e RoleNameInAccountB é a função IAM na conta da Tarefa de API.