Amazon Route 53，限制 IAM 使用者訪問單個記錄集

我想以程式方式更改 Amazon Route 53 上託管區域內記錄集的 CNAME，但我想限制使用者僅訪問該記錄集。對於我在文件中看到的內容，IAM 允許僅基於“託管區域”或“更改”指定操作。這意味著我的使用者需要對我的所有記錄集擁有權力才能更改單個記錄集。

在這種情況下，程式碼錯誤的後果不僅僅是災難性的。如果對託管區域名稱的檢查是錯誤的，出於任何原因，我可能會錯誤地將更改應用於多個記錄集（想像現在許多記錄集指向同一個框/基礎設施）。

我的問題不是不要在程式碼中出錯，而是要創建一個使用者來保護系統免受這種可能性的影響。有一種方法可以限制訪問（或解決方法），以允許新的 IAM 使用者僅訪問一個/一組有限的託管區域。

在 IAM 級別，不是以程式方式。

謝謝你。

您可以這樣做的一種方法是創建一個新區域，它是主域的子域，例如stuff.example.com並將子域的 NS 委託給該輔助區域。授予他們對該子域區域的 IAM 權限，他們將能夠創建像my.stuff.example.com. 對於您想成為一等公民的記錄，您可以這樣CNAME my.example.com做my.stuff.example.com，這在功能上允許他們在沒有完全權限的情況下管理該子域。

在上次亞馬遜 AWS 會議上，我有機會向幾位 AWS 解決方案架構師提出這個問題，他們證實我是不可能的。IAM 或更好的 Route53 沒有這種粒度級別。

引用自：https://serverfault.com/questions/570681