Amazon Route 53 จำกัด การเข้าถึงของผู้ใช้ IAM สำหรับชุดระเบียนเดียว


15

ฉันต้องการเปลี่ยน CNAME ของ Record Set โดยทางโปรแกรมภายใน Hosted Zone ใน Amazon Route 53 แต่ฉันต้องการ จำกัด การเข้าถึงของผู้ใช้เฉพาะกับชุดระเบียนนั้น สำหรับสิ่งที่ฉันเห็นในเอกสาร IAM อนุญาตให้ระบุการดำเนินการตาม "โฮสต์โซน" หรือ "การเปลี่ยนแปลง" เท่านั้น ซึ่งหมายความว่าผู้ใช้ของฉันต้องมีอำนาจเหนือทุกชุดบันทึกของฉันเพื่อเปลี่ยนหนึ่งเดียว

ผลที่ตามมาของข้อผิดพลาดในรหัสในกรณีเช่นนี้เป็นมากกว่าภัยพิบัติ หากการตรวจสอบชื่อโซนโฮสต์ไม่ถูกต้องไม่ว่าด้วยเหตุผลใดฉันสามารถใช้ข้อผิดพลาดในการเปลี่ยนแปลงกับชุดระเบียนมากกว่าหนึ่งชุด (จินตนาการว่าชุดระเบียนหลายชุดชี้ไปที่กล่อง / โครงสร้างพื้นฐานเดียวกัน)

คำถามของฉันไม่ได้เกี่ยวกับการไม่ทำผิดพลาดในรหัส แต่เป็นการสร้างผู้ใช้เพื่อปกป้องระบบจากความเป็นไปได้ดังกล่าว มีวิธีในการ จำกัด การเข้าถึง (หรือวิธีแก้ปัญหา) เพื่ออนุญาตให้ผู้ใช้ IAM ใหม่สามารถเข้าถึง Hosted Zones หนึ่งชุด / โซนที่ จำกัด เท่านั้น

ในระดับ IAM ไม่ใช่ทางโปรแกรม

ขอบคุณ.

คำตอบ:


13

วิธีหนึ่งที่คุณสามารถทำได้คือสร้างโซนใหม่ที่เป็นโดเมนย่อยของโดเมนหลักเช่นstuff.example.comและมอบหมาย NS ของโดเมนย่อยให้กับโซนรองนั้น ให้สิทธิ์ IAM แก่พวกเขาในโซนของโดเมนย่อยและพวกเขาจะสามารถสร้างโดเมนย่อยmy.stuff.example.comได้ สำหรับระเบียนที่คุณต้องการที่จะเป็นพลเมืองชั้นแรกคุณอาจCNAME my.example.comจะmy.stuff.example.comซึ่งจะอนุญาตให้พวกเขาทำงานในการจัดการโดเมนย่อยที่โดยไม่ต้องมีสิทธิพิเศษเต็มรูปแบบ


2
ใช่ฉันเห็นด้วยว่าอาจเป็นไปได้ เป็นวิธีแก้ปัญหาที่ดีในขณะที่ฉันรอการอนุญาตที่ละเอียดมากขึ้น
Fabrizio S

5

ฉันมีโอกาสถามคำถามนี้กับสถาปนิกโซลูชัน aws สองสามคนในการประชุม amazon aws ครั้งล่าสุดและพวกเขายืนยันว่าฉันเป็นไปไม่ได้ IAM หรือดีกว่า Route53 ไม่มีระดับของความละเอียดระดับนั้น


1
ขณะนี้มีการพัฒนาตามแผนสำหรับคุณสมบัตินี้ นี่คือคำตอบอย่างเป็นทางการครั้งสุดท้ายจาก Amazon:> ขอบคุณสำหรับการกล่าวถึงสิ่งนี้เราได้ยกสิ่งนี้พร้อมกับ> ทีมพัฒนาของเราสำหรับการพิจารณาในอนาคต >> หากคุณมีข้อเสนอแนะอื่นใดโปรดแจ้งให้เราทราบ >> ขอแสดงความนับถือดาวินจีผมขอแนะนำให้คุณยกกระทู้ที่เกี่ยวข้องที่: forums.aws.amazon.com/thread.jspa?messageID=563952髰
tiagomatos

5

คุณสามารถสร้างฟังก์ชั่น AWS Lambda ที่ทำการเปลี่ยนแปลงนี้ (สำหรับระเบียนเดียวเท่านั้น) และสร้างนโยบายการเรียกใช้สำหรับฟังก์ชันนี้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.