Amazon Route 53, ограничить доступ пользователей IAM к одному набору записей

15

Я хотел бы программно изменить CNAME набора записей в размещенной зоне на Amazon Route 53, но я бы хотел ограничить доступ пользователя ТОЛЬКО к этому набору записей. Для того, что я видел в документации, IAM позволяет указывать операции только на основе «hosted-zone» или «изменений». Это означает, что мой пользователь должен иметь возможность управлять ВСЕМ моим набором записей, чтобы изменить один.

Последствия ошибки в коде в подобном случае более чем катастрофичны. Если проверки по имени размещенной зоны по какой-либо причине неверны, я мог бы по ошибке применить изменения к более чем одному набору записей (представьте, что множество Наборов записей теперь указывают на один и тот же блок / инфраструктуру).

Мой вопрос не о том, чтобы делать ошибки в коде, а о том, чтобы создать пользователя для защиты системы от таких возможностей. Существует способ ограничить доступ (или обходной путь), чтобы позволить новому пользователю IAM получить доступ только к одному / ограниченному набору размещенных зон.

На уровне IAM, а не программно.

Спасибо.

Фабрицио С
источник

Ответы:

13

Один из способов сделать это - создать новую зону, которая является поддоменом основного домена, например, stuff.example.comделегировать NS субдомена этой вторичной зоне. Дайте им привилегии IAM для зоны этого субдомена, и они смогут создавать такие субдомены, как my.stuff.example.com. Для записей, которые вы хотите быть первоклассными гражданами, вы можете CNAME my.example.comсделать это my.stuff.example.com, что функционально позволит им управлять этим поддоменом без полных привилегий.

ceejayoz
источник
2
Да, я согласен, что это возможно. Это хороший обходной путь, пока я жду более детальных разрешений.
Фабрицио С
5

У меня была возможность задать этот вопрос архитектору нескольких решений aws на последней конференции amazon aws, и они подтвердили, что это невозможно. IAM или лучше Route53 не имеет такого уровня детализации.

Фабрицио С
источник
1
В настоящее время запланированы разработки для этой функции. Это последний официальный ответ от Amazon:> Спасибо, что упомянули об этом, мы обсудили это с нашими> командами разработчиков для дальнейшего рассмотрения. >> Если у вас есть другие предложения, сообщите нам. >> С уважением, Дэвин Дж. Я бы предложил вам проголосовать за соответствующую ветку по адресу: forums.aws.amazon.com/thread.jspa?messageID=563952髰
tiagomatos
5

Вы можете создать лямбда-функцию AWS, которая внесет это изменение (только для этой отдельной записи) и создаст политику вызова для этой функции.

Дмитро
источник