Ich möchte den CNAME eines Datensatzes in einer gehosteten Zone auf Amazon Route 53 programmgesteuert ändern, möchte jedoch den Zugriff des Benutzers NUR auf diesen Datensatz beschränken. Für das, was ich in der Dokumentation gesehen habe, erlaubt IAM, den Betrieb nur basierend auf "Hosted-Zone" oder "Änderungen" anzugeben. Dies bedeutet, dass mein Benutzer über die gesamte Datensatzgruppe verfügen muss, um einen einzelnen Datensatz zu ändern.
Die Konsequenzen eines Fehlers im Code in einem solchen Fall sind mehr als katastrophal. Wenn die Überprüfungen des Namens der gehosteten Zone aus irgendeinem Grund falsch sind, könnte ich die Änderungen aus Versehen auf mehr als einen Datensatz anwenden (stellen Sie sich viele Datensätze vor, die jetzt auf dieselbe Box / Infrastruktur verweisen).
Meine Frage ist nicht, keine Fehler im Code zu machen, sondern einen Benutzer zu erstellen, der das System vor solchen Möglichkeiten schützt. Es gibt eine Möglichkeit, den Zugriff (oder eine Problemumgehung) zu beschränken, damit ein neuer IAM-Benutzer nur auf eine / eine begrenzte Anzahl von Hosted Zones zugreifen kann.
Auf IAM-Ebene, nicht programmgesteuert.
Vielen Dank.
quelle
Ich hatte die Gelegenheit, diese Frage bei der letzten amazon aws-Konferenz einem Architekten von aws solutions zu stellen, und sie bestätigten, dass ich nicht in der Lage bin. IAM oder besser Route53 verfügt nicht über diese Granularität.
quelle
Sie können eine AWS Lambda-Funktion erstellen, die diese Änderung vornimmt (nur für diesen einzelnen Datensatz), und eine Aufrufrichtlinie für diese Funktion erstellen.
quelle