题 Amazon Route 53,限制IAM用户访问单个记录集


我想以编程方式更改Amazon Route 53上托管区域内记录集的CNAME,但我想限制用户对该记录集的访问权限。对于我在文档中看到的内容,IAM允许仅基于“托管区域”或“更改”来指定操作。这意味着我的用户需要对所有记录集进行更改以更改单个记录集。

在这种情况下,代码中的错误的后果不仅仅是灾难性的。如果对托管区域名称的检查是错误的,出于任何原因,我可能会将更改应用于多个记录集(想象现在指向同一个框/基础结构的许多记录集)。

我的问题不是关于不在代码中出错,而是关于创建用户以保护系统免受这种可能性的影响。有一种方法可以限制访问(或变通方法)以允许新的IAM用户仅访问一个/一组有限的托管区域。

在IAM级别,不是以编程方式。

谢谢。


11
2018-01-29 11:12






答案:


你可以做到这一点的一种方法是创建一个新域,它是主域的子域,比如 stuff.example.com 并将子域的NS委托给该辅助区域。将它们的IAM权限授予该子域的区域,并且他们可以创建子域名 my.stuff.example.com。对于您想成为一等公民的记录,您可以 CNAME  my.example.com 至 my.stuff.example.com,这将在功能上允许他们在没有完全权限的情况下管理该子域。


8
2018-05-01 14:38



是的,我同意这可能是可行的。在等待更细粒度的权限时,这是一个很好的解决方法。 - Fabrizio S


我有机会在最后一次亚马逊会议上向一些aws解决方案架构师提出这个问题,他们证实我是不可能的。 IAM或更好的Route53没有该级别的粒度。


4
2018-05-01 14:32



目前有针对此功能的计划开发。这是亚马逊的最后官方回答:>感谢您提及此问题,我们已经与我们的>开发团队提出了这个问题,以供将来考虑。 >>如果您有任何其他建议,请告诉我们。问候,Davin G.我建议你在以下方面提出相关主题: forums.aws.amazon.com/thread.jspa?messageID=563952&#563952 - tiagomatos


您可以创建进行此更改的AWS Lambda函数(仅适用于此单个记录)并为此函数创建调用策略。


2
2018-06-12 15:06