Saya ingin secara terprogram mengubah CNAME dari Kumpulan Rekaman di dalam Zona Hosted di Amazon Route 53, tetapi saya ingin membatasi akses pengguna SAJA ke kumpulan rekaman itu. Untuk apa yang saya lihat di dokumentasi, IAM mengizinkan untuk menentukan operasi hanya berdasarkan "host-zone" atau "perubahan". Ini berarti bahwa pengguna saya harus memiliki kuasa atas SEMUA catatan saya yang ditetapkan untuk mengubah satu.
Konsekuensi dari kesalahan dalam kode dalam kasus seperti ini lebih dari sekadar bencana. Jika pemeriksaan pada nama zona yang di-host salah, untuk alasan apa pun, saya bisa karena kesalahan menerapkan perubahan ke lebih dari satu kumpulan rekaman (bayangkan banyak Kumpulan Catatan yang menunjuk sekarang pada kotak / infrastruktur yang sama).
Pertanyaan saya bukan tentang tidak membuat kesalahan dalam kode, tetapi tentang membuat pengguna untuk melindungi sistem dari kemungkinan seperti itu. Ada cara untuk membatasi akses (atau solusi) untuk memungkinkan pengguna IAM baru untuk mengakses satu / sejumlah Zona Hosted saja.
Pada level IAM, tidak secara terprogram.
Terima kasih.
sumber
Saya berkesempatan untuk mengajukan pertanyaan ini kepada beberapa arsitek solusi aws di konferensi aws amazon terakhir dan mereka mengkonfirmasi saya tidak mungkin. IAM atau Route53 yang lebih baik tidak memiliki tingkat granularity.
sumber
Anda dapat membuat fungsi AWS Lambda yang membuat perubahan ini (hanya untuk catatan tunggal ini) dan membuat kebijakan doa untuk fungsi ini.
sumber