我想以编程方式更改 Amazon Route 53 上托管区域内记录集的 CNAME,但我想限制用户仅访问该记录集。对于我在文档中看到的内容,IAM 允许仅基于“托管区域”或“更改”指定操作。这意味着我的用户需要拥有我所有记录集的权力才能更改单个记录集。
在这种情况下,代码错误的后果不仅仅是灾难性的。如果对托管区域名称的检查错误,无论出于何种原因,我都可以将更改应用于多个记录集(想象一下现在许多记录集指向同一个框/基础设施)。
我的问题不是关于不在代码中出错,而是关于创建一个用户来保护系统免受这种可能性的影响。有一种方法可以限制访问(或解决方法)以允许新的 IAM 用户仅访问一个/一组有限的托管区域。
在 IAM 级别,而非以编程方式。
谢谢你。