Amazon Route 53, hạn chế quyền truy cập của người dùng IAM vào bộ hồ sơ duy nhất


13

Tôi muốn lập trình thay đổi CNAME của Tập bản ghi bên trong Vùng được lưu trữ trên Amazon Route 53, nhưng tôi muốn hạn chế quyền truy cập CHỈ của người dùng vào tập bản ghi đó. Đối với những gì tôi đã thấy trên tài liệu, IAM chỉ cho phép chỉ định hoạt động dựa trên "vùng được lưu trữ" hoặc "thay đổi". Điều này có nghĩa là người dùng của tôi cần có quyền lực đối với TẤT CẢ bản ghi của tôi để thay đổi một bản duy nhất.

Hậu quả của một lỗi trong mã trong trường hợp như thế này còn hơn cả thảm khốc. Nếu kiểm tra tên khu vực được lưu trữ là sai, vì bất kỳ lý do gì, tôi có thể lỗi khi áp dụng các thay đổi cho nhiều hơn một bộ bản ghi (hãy tưởng tượng nhiều Bộ bản ghi chỉ vào cùng một hộp / cơ sở hạ tầng).

Câu hỏi của tôi không phải là về việc không tạo ra lỗi trong mã, mà là về việc tạo người dùng để bảo vệ hệ thống khỏi những khả năng như vậy. Có một cách để hạn chế quyền truy cập (hoặc cách giải quyết) để cho phép người dùng IAM mới chỉ truy cập vào một / một bộ Khu vực được lưu trữ giới hạn.

Ở cấp độ IAM, không lập trình.

Cảm ơn bạn.

Câu trả lời:


11

Một cách bạn có thể làm là tạo một vùng mới đó là một tên miền phụ của tên miền chính, như stuff.example.comvà ủy thác NS của tên miền phụ cho vùng thứ cấp đó. Cung cấp cho họ các đặc quyền IAM cho vùng của tên miền phụ đó và họ có thể tạo các tên miền phụ như thế nào my.stuff.example.com. Đối với hồ sơ mà bạn muốn trở thành công dân hạng nhất, bạn có thể CNAME my.example.comtới my.stuff.example.com, trong đó sẽ có chức năng cho phép họ quản lý tên miền phụ đó mà không cần phải đặc quyền đầy đủ.


2
Vâng, tôi đồng ý rằng có lẽ đó là khả thi. Là một cách giải quyết tốt trong khi tôi chờ đợi các quyền chi tiết hơn.
Fabrizio S

4

Tôi đã có cơ hội đặt câu hỏi này cho một vài kiến ​​trúc sư giải pháp aws tại hội nghị amazon aws vừa qua và họ xác nhận tôi là không thể. IAM hoặc tốt hơn Route53 không có mức độ chi tiết đó.


1
Hiện tại đã có kế hoạch phát triển cho tính năng này. Đây là câu trả lời chính thức cuối cùng từ Amazon:> Cảm ơn bạn đã đề cập đến vấn đề này, chúng tôi đã nêu ra điều này với> nhóm phát triển của chúng tôi để xem xét trong tương lai. >> Nếu bạn có bất kỳ đề nghị nào khác xin vui lòng cho chúng tôi biết. >> Trân trọng, Davin G. Tôi sẽ đề nghị bạn nâng cấp chủ đề liên quan tại: forum.aws.amazon.com/thread.jspa?messageID=563952髰
tiaeimatos

3

Bạn có thể tạo chức năng AWS Lambda để thực hiện thay đổi này (chỉ cho bản ghi duy nhất này) và tạo chính sách gọi cho chức năng này.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.