Amazon Route 53, IAM kullanıcı erişimini tek kayıt kümesine kısıtla

Programlı olarak Amazon Route 53 üzerinde Barındırılan Bölge içindeki bir Kayıt Kümesinin CNAME'ini değiştirmek istiyorum, ancak kullanıcının SADECE bu kayıt kümesine erişimini kısıtlamak istiyorum. Belgelerde gördüklerim için IAM, yalnızca "barındırılan bölge" veya "değişikliklere" dayalı olarak işlem belirtmeye izin veriyor. Bu, kullanıcının tek bir kaydı değiştirmek için TÜM kaydım üzerinde güce sahip olması gerektiği anlamına gelir.

Böyle bir durumda koddaki bir hatanın sonuçları felaketten daha fazladır. Barındırılan bölge adındaki denetimler yanlışsa, herhangi bir nedenle, değişiklikleri birden fazla kayıt kümesine uygulayabilirim (şimdi aynı kutuda / altyapıda işaret eden birçok Kayıt Kümesini hayal edin).

Sorum, kodda hata yapmak değil, sistemi bu tür olasılıklardan korumak için bir kullanıcı oluşturmakla ilgili. Yeni bir IAM kullanıcısının yalnızca bir veya sınırlı Barındırılan Bölge kümesine erişmesine izin vermek için erişimi (veya geçici bir çözümü) kısıtlamanın bir yolu vardır.

IAM düzeyinde, programlı olarak değil.

Teşekkür ederim.

Bunu yapmanın bir yolu, ana etki alanının alt etki alanı olan yeni bir bölge yapmaktır ve alt etki stuff.example.comalanının NS'sini bu ikincil bölgeye devredebilirsiniz. Onlara bu alt alanın bölgesine IAM ayrıcalıkları verin ve onlar gibi alt alan adları oluşturabilirler my.stuff.example.com. Birinci sınıf vatandaş olmak istediğiniz kayıtlar CNAME my.example.comiçin my.stuff.example.com, tam ayrıcalıklara sahip olmadan bu alt etki alanını yönetmelerine izin verecek şekilde yapabilirsiniz.

Bu soruyu son amazon aws konferansında birkaç aws çözüm mimarıma sorma şansım oldu ve bana mümkün olmadığını doğruladılar. IAM veya daha iyisi Route53, bu düzeyde bir ayrıntı düzeyine sahip değildir.

Bu değişikliği yapan (yalnızca bu tek kayıt için) AWS Lambda işlevi oluşturabilir ve bu işlev için bir çağrı ilkesi oluşturabilirsiniz.