Fab*_*o S 16 amazon-route53 amazon-iam
我想以编程方式更改 Amazon Route 53 上托管区域内记录集的 CNAME,但我想限制用户仅访问该记录集。对于我在文档中看到的内容,IAM 允许仅基于“托管区域”或“更改”指定操作。这意味着我的用户需要拥有我所有记录集的权力才能更改单个记录集。
在这种情况下,代码错误的后果不仅仅是灾难性的。如果对托管区域名称的检查错误,无论出于何种原因,我都可以将更改应用于多个记录集(想象一下现在许多记录集指向同一个框/基础设施)。
我的问题不是关于不在代码中出错,而是关于创建一个用户来保护系统免受这种可能性的影响。有一种方法可以限制访问(或解决方法)以允许新的 IAM 用户仅访问一个/一组有限的托管区域。
在 IAM 级别,而非以编程方式。
谢谢你。
cee*_*yoz 13
您可以这样做的一种方法是创建一个新区域,该区域是主域的子域,例如stuff.example.com并将子域的 NS 委派给该辅助区域。授予他们对该子域区域的 IAM 权限,他们将能够创建子域,例如my.stuff.example.com. 对于记录,你想成为一等公民,你可以CNAME my.example.com到my.stuff.example.com,这将功能允许他们来管理该子域,而无需全部权限。
| 归档时间: |
|
| 查看次数: |
5331 次 |
| 最近记录: |