Amazon Route 53, beschränken Sie den IAM-Benutzerzugriff auf einen einzelnen Datensatz

13

Ich möchte den CNAME eines Datensatzes in einer gehosteten Zone auf Amazon Route 53 programmgesteuert ändern, möchte jedoch den Zugriff des Benutzers NUR auf diesen Datensatz beschränken. Für das, was ich in der Dokumentation gesehen habe, erlaubt IAM, den Betrieb nur basierend auf "Hosted-Zone" oder "Änderungen" anzugeben. Dies bedeutet, dass mein Benutzer über die gesamte Datensatzgruppe verfügen muss, um einen einzelnen Datensatz zu ändern.

Die Konsequenzen eines Fehlers im Code in einem solchen Fall sind mehr als katastrophal. Wenn die Überprüfungen des Namens der gehosteten Zone aus irgendeinem Grund falsch sind, könnte ich die Änderungen aus Versehen auf mehr als einen Datensatz anwenden (stellen Sie sich viele Datensätze vor, die jetzt auf dieselbe Box / Infrastruktur verweisen).

Meine Frage ist nicht, keine Fehler im Code zu machen, sondern einen Benutzer zu erstellen, der das System vor solchen Möglichkeiten schützt. Es gibt eine Möglichkeit, den Zugriff (oder eine Problemumgehung) zu beschränken, damit ein neuer IAM-Benutzer nur auf eine / eine begrenzte Anzahl von Hosted Zones zugreifen kann.

Auf IAM-Ebene, nicht programmgesteuert.

Vielen Dank.

amazon-route53 amazon-iam Fabrizio S
quelle

Antworten:

11

Eine Möglichkeit, dies zu tun, besteht darin, eine neue Zone zu erstellen, die eine Unterdomäne der Hauptdomäne ist, stuff.example.comund die NS der Unterdomäne an diese sekundäre Zone zu delegieren. Geben Sie ihnen IAM-Berechtigungen für die Zone dieser Subdomain, und sie können Subdomains wie erstellen my.stuff.example.com. Für Datensätze , die Sie wollen Bürger erster Klasse sein, könnten Sie CNAME my.example.comzu my.stuff.example.com, die es ihnen ermöglichen , funktionell , dass die Sub - Domain zu verwalten , ohne vollen Privilegien zu haben.

ceejayoz
quelle
2
Ja, ich bin damit einverstanden, dass das wahrscheinlich machbar ist. Ist eine gute Problemumgehung, während ich auf detailliertere Berechtigungen warte.
Fabrizio S
4

Ich hatte die Gelegenheit, diese Frage bei der letzten amazon aws-Konferenz einem Architekten von aws solutions zu stellen, und sie bestätigten, dass ich nicht in der Lage bin. IAM oder besser Route53 verfügt nicht über diese Granularität.

Fabrizio S
quelle
1
Derzeit sind Entwicklungen für dieses Feature geplant. Dies ist die letzte offizielle Antwort von Amazon:> Vielen Dank, dass Sie dies erwähnt haben. Wir haben dies mit unseren> Entwicklungsteams zur zukünftigen Prüfung besprochen. >> Wenn Sie weitere Vorschläge haben, teilen Sie uns dies bitte mit. >> Grüße, Davin G. Ich würde vorschlagen, dass Sie den entsprechenden Thread unter forums.aws.amazon.com/thread.jspa?messageID=563952髰
tiagomatos 18.08.14
3

Sie können eine AWS Lambda-Funktion erstellen, die diese Änderung vornimmt (nur für diesen einzelnen Datensatz), und eine Aufrufrichtlinie für diese Funktion erstellen.

Dmytro
quelle