Amazon-Web-Services

限制 IAM 使用者訪問刪除 Route53 託管區域 NS 和 SOA 記錄集

  • April 7, 2020

我已經編寫了 IAM 策略來限制 IAM 使用者僅使用單個託管區域進行測試,但是我如何限制 IAM 使用者刪除該託管區域的 NS 記錄和 SOA 記錄集。

PFB 我的 IAM 政策:

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "VisualEditor0",
           "Effect": "Allow",
           "Action": [
               "route53:GetChange",
               "route53:ListTrafficPolicyVersions",
               "route53:GetHostedZone",
               "route53:GetHealthCheck",
               "route53:DeleteHealthCheck",
               "route53:UpdateHealthCheck",
               "route53:ListQueryLoggingConfigs",
               "route53:ListResourceRecordSets",
               "route53:GetTrafficPolicyInstance",
               "route53:UpdateHostedZoneComment",
               "route53:GetQueryLoggingConfig",
               "route53:UpdateTrafficPolicyComment",
               "route53:UpdateTrafficPolicyInstance",
               "route53:GetHealthCheckLastFailureReason",
               "route53:GetHealthCheckStatus",
               "route53:ListTrafficPolicyInstancesByHostedZone",
               "route53:ListVPCAssociationAuthorizations",
               "route53:GetReusableDelegationSetLimit",
               "route53:ChangeResourceRecordSets",
               "route53:GetReusableDelegationSet",
               "route53:ListTagsForResource",
               "route53:ListTagsForResources",
               "route53:ListTrafficPolicyInstancesByPolicy",
               "route53:GetHostedZoneLimit",
               "route53:GetTrafficPolicy"
           ],
           "Resource": "arn:aws:route53:::hostedzone/Z03200001ZUWD7XXXXXXX"
       },
       {
           "Sid": "VisualEditor1",
           "Effect": "Allow",
           "Action": [
               "route53:ListReusableDelegationSets",
               "route53:ListTrafficPolicyInstances",
               "route53:GetTrafficPolicyInstanceCount",
               "route53:CreateReusableDelegationSet",
               "route53:CreateTrafficPolicy",
               "route53:TestDNSAnswer",
               "route53:ListHostedZones",
               "route53:ListHostedZonesByName",
               "route53:GetAccountLimit",
               "route53:GetCheckerIpRanges",
               "route53:ListHealthChecks",
               "route53:CreateHealthCheck",
               "route53:ListTrafficPolicies",
               "route53:GetGeoLocation",
               "route53:ListGeoLocations",
               "route53:GetHostedZoneCount",
               "route53:GetHealthCheckCount"
           ],
           "Resource": "*"
       }
   ]
}

無法在 Route53 中刪除 SOA 記錄。它是任何 DNS 區域的組成部分。而且我相信NS記錄也不能刪除,它們是由Route53管理的。無論您的 IAM 權限如何。

如果您使用 Route53 創建了託管區域,則會自動創建 2 個記錄集,它們是 NS 記錄和 SOA 記錄。沒有人刪除 NS,也無法刪除 SOA 記錄。

引用自:https://serverfault.com/questions/1010094