Amazon Route 53, hạn chế quyền truy cập của người dùng IAM vào bộ hồ sơ duy nhất

Tôi muốn lập trình thay đổi CNAME của Tập bản ghi bên trong Vùng được lưu trữ trên Amazon Route 53, nhưng tôi muốn hạn chế quyền truy cập CHỈ của người dùng vào tập bản ghi đó. Đối với những gì tôi đã thấy trên tài liệu, IAM chỉ cho phép chỉ định hoạt động dựa trên "vùng được lưu trữ" hoặc "thay đổi". Điều này có nghĩa là người dùng của tôi cần có quyền lực đối với TẤT CẢ bản ghi của tôi để thay đổi một bản duy nhất.

Hậu quả của một lỗi trong mã trong trường hợp như thế này còn hơn cả thảm khốc. Nếu kiểm tra tên khu vực được lưu trữ là sai, vì bất kỳ lý do gì, tôi có thể lỗi khi áp dụng các thay đổi cho nhiều hơn một bộ bản ghi (hãy tưởng tượng nhiều Bộ bản ghi chỉ vào cùng một hộp / cơ sở hạ tầng).

Câu hỏi của tôi không phải là về việc không tạo ra lỗi trong mã, mà là về việc tạo người dùng để bảo vệ hệ thống khỏi những khả năng như vậy. Có một cách để hạn chế quyền truy cập (hoặc cách giải quyết) để cho phép người dùng IAM mới chỉ truy cập vào một / một bộ Khu vực được lưu trữ giới hạn.

Ở cấp độ IAM, không lập trình.

Cảm ơn bạn.

Một cách bạn có thể làm là tạo một vùng mới đó là một tên miền phụ của tên miền chính, như stuff.example.comvà ủy thác NS của tên miền phụ cho vùng thứ cấp đó. Cung cấp cho họ các đặc quyền IAM cho vùng của tên miền phụ đó và họ có thể tạo các tên miền phụ như thế nào my.stuff.example.com. Đối với hồ sơ mà bạn muốn trở thành công dân hạng nhất, bạn có thể CNAME my.example.comtới my.stuff.example.com, trong đó sẽ có chức năng cho phép họ quản lý tên miền phụ đó mà không cần phải đặc quyền đầy đủ.

Tôi đã có cơ hội đặt câu hỏi này cho một vài kiến ​​trúc sư giải pháp aws tại hội nghị amazon aws vừa qua và họ xác nhận tôi là không thể. IAM hoặc tốt hơn Route53 không có mức độ chi tiết đó.

Bạn có thể tạo chức năng AWS Lambda để thực hiện thay đổi này (chỉ cho bản ghi duy nhất này) và tạo chính sách gọi cho chức năng này.