Tôi muốn lập trình thay đổi CNAME của Tập bản ghi bên trong Vùng được lưu trữ trên Amazon Route 53, nhưng tôi muốn hạn chế quyền truy cập CHỈ của người dùng vào tập bản ghi đó. Đối với những gì tôi đã thấy trên tài liệu, IAM chỉ cho phép chỉ định hoạt động dựa trên "vùng được lưu trữ" hoặc "thay đổi". Điều này có nghĩa là người dùng của tôi cần có quyền lực đối với TẤT CẢ bản ghi của tôi để thay đổi một bản duy nhất.
Hậu quả của một lỗi trong mã trong trường hợp như thế này còn hơn cả thảm khốc. Nếu kiểm tra tên khu vực được lưu trữ là sai, vì bất kỳ lý do gì, tôi có thể lỗi khi áp dụng các thay đổi cho nhiều hơn một bộ bản ghi (hãy tưởng tượng nhiều Bộ bản ghi chỉ vào cùng một hộp / cơ sở hạ tầng).
Câu hỏi của tôi không phải là về việc không tạo ra lỗi trong mã, mà là về việc tạo người dùng để bảo vệ hệ thống khỏi những khả năng như vậy. Có một cách để hạn chế quyền truy cập (hoặc cách giải quyết) để cho phép người dùng IAM mới chỉ truy cập vào một / một bộ Khu vực được lưu trữ giới hạn.
Ở cấp độ IAM, không lập trình.
Cảm ơn bạn.