Я хотел бы программно изменить CNAME набора записей в размещенной зоне на Amazon Route 53, но я бы хотел ограничить доступ пользователя ТОЛЬКО к этому набору записей. Для того, что я видел в документации, IAM позволяет указывать операции только на основе «hosted-zone» или «изменений». Это означает, что мой пользователь должен иметь возможность управлять ВСЕМ моим набором записей, чтобы изменить один.
Последствия ошибки в коде в подобном случае более чем катастрофичны. Если проверки по имени размещенной зоны по какой-либо причине неверны, я мог бы по ошибке применить изменения к более чем одному набору записей (представьте, что множество Наборов записей теперь указывают на один и тот же блок / инфраструктуру).
Мой вопрос не о том, чтобы делать ошибки в коде, а о том, чтобы создать пользователя для защиты системы от таких возможностей. Существует способ ограничить доступ (или обходной путь), чтобы позволить новому пользователю IAM получить доступ только к одному / ограниченному набору размещенных зон.
На уровне IAM, а не программно.
Спасибо.
источник
У меня была возможность задать этот вопрос архитектору нескольких решений aws на последней конференции amazon aws, и они подтвердили, что это невозможно. IAM или лучше Route53 не имеет такого уровня детализации.
источник
Вы можете создать лямбда-функцию AWS, которая внесет это изменение (только для этой отдельной записи) и создаст политику вызова для этой функции.
источник