Amazon Route 53, membatasi akses pengguna IAM ke set rekaman tunggal

14

Saya ingin secara terprogram mengubah CNAME dari Kumpulan Rekaman di dalam Zona Hosted di Amazon Route 53, tetapi saya ingin membatasi akses pengguna SAJA ke kumpulan rekaman itu. Untuk apa yang saya lihat di dokumentasi, IAM mengizinkan untuk menentukan operasi hanya berdasarkan "host-zone" atau "perubahan". Ini berarti bahwa pengguna saya harus memiliki kuasa atas SEMUA catatan saya yang ditetapkan untuk mengubah satu.

Konsekuensi dari kesalahan dalam kode dalam kasus seperti ini lebih dari sekadar bencana. Jika pemeriksaan pada nama zona yang di-host salah, untuk alasan apa pun, saya bisa karena kesalahan menerapkan perubahan ke lebih dari satu kumpulan rekaman (bayangkan banyak Kumpulan Catatan yang menunjuk sekarang pada kotak / infrastruktur yang sama).

Pertanyaan saya bukan tentang tidak membuat kesalahan dalam kode, tetapi tentang membuat pengguna untuk melindungi sistem dari kemungkinan seperti itu. Ada cara untuk membatasi akses (atau solusi) untuk memungkinkan pengguna IAM baru untuk mengakses satu / sejumlah Zona Hosted saja.

Pada level IAM, tidak secara terprogram.

Terima kasih.

Fabrizio S
sumber

Jawaban:

11

Salah satu cara Anda bisa melakukan ini adalah membuat zona baru yang merupakan subdomain dari domain utama, seperti stuff.example.comdan mendelegasikan NS subdomain ke zona sekunder. Beri mereka hak istimewa IAM ke zona subdomain itu dan mereka akan bisa membuat subdomain seperti my.stuff.example.com. Untuk catatan yang Anda ingin menjadi warga negara kelas satu, Anda bisa CNAME my.example.commelakukannya my.stuff.example.com, yang secara fungsional akan mengizinkan mereka untuk mengelola subdomain itu tanpa memiliki hak istimewa penuh.

ceejayoz
sumber
2
Ya, saya setuju bahwa mungkin itu layak. Merupakan solusi yang baik sementara saya menunggu izin yang lebih rinci.
Fabrizio S
4

Saya berkesempatan untuk mengajukan pertanyaan ini kepada beberapa arsitek solusi aws di konferensi aws amazon terakhir dan mereka mengkonfirmasi saya tidak mungkin. IAM atau Route53 yang lebih baik tidak memiliki tingkat granularity.

Fabrizio S
sumber
1
Saat ini sedang direncanakan pengembangan untuk fitur ini. Ini adalah jawaban resmi terakhir dari Amazon:> Terima kasih telah menyebutkan ini, kami telah mengangkat ini> bersama tim pengembang kami untuk dipertimbangkan di masa depan. >> Jika Anda memiliki saran lain, silakan beri tahu kami. >> Salam, Davin G. Saya sarankan Anda untuk meningkatkan utas terkait di: forums.aws.amazon.com/thread.jspa?messageID=563952髰
tiagomatos
4

Anda dapat membuat fungsi AWS Lambda yang membuat perubahan ini (hanya untuk catatan tunggal ini) dan membuat kebijakan doa untuk fungsi ini.

Dmytro
sumber