Amazon-Web-Services
限制 IAM 使用者訪問刪除 Route53 託管區域 NS 和 SOA 記錄集
我已經編寫了 IAM 策略來限制 IAM 使用者僅使用單個託管區域進行測試,但是我如何限制 IAM 使用者刪除該託管區域的 NS 記錄和 SOA 記錄集。
PFB 我的 IAM 政策:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "route53:GetChange", "route53:ListTrafficPolicyVersions", "route53:GetHostedZone", "route53:GetHealthCheck", "route53:DeleteHealthCheck", "route53:UpdateHealthCheck", "route53:ListQueryLoggingConfigs", "route53:ListResourceRecordSets", "route53:GetTrafficPolicyInstance", "route53:UpdateHostedZoneComment", "route53:GetQueryLoggingConfig", "route53:UpdateTrafficPolicyComment", "route53:UpdateTrafficPolicyInstance", "route53:GetHealthCheckLastFailureReason", "route53:GetHealthCheckStatus", "route53:ListTrafficPolicyInstancesByHostedZone", "route53:ListVPCAssociationAuthorizations", "route53:GetReusableDelegationSetLimit", "route53:ChangeResourceRecordSets", "route53:GetReusableDelegationSet", "route53:ListTagsForResource", "route53:ListTagsForResources", "route53:ListTrafficPolicyInstancesByPolicy", "route53:GetHostedZoneLimit", "route53:GetTrafficPolicy" ], "Resource": "arn:aws:route53:::hostedzone/Z03200001ZUWD7XXXXXXX" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "route53:ListReusableDelegationSets", "route53:ListTrafficPolicyInstances", "route53:GetTrafficPolicyInstanceCount", "route53:CreateReusableDelegationSet", "route53:CreateTrafficPolicy", "route53:TestDNSAnswer", "route53:ListHostedZones", "route53:ListHostedZonesByName", "route53:GetAccountLimit", "route53:GetCheckerIpRanges", "route53:ListHealthChecks", "route53:CreateHealthCheck", "route53:ListTrafficPolicies", "route53:GetGeoLocation", "route53:ListGeoLocations", "route53:GetHostedZoneCount", "route53:GetHealthCheckCount" ], "Resource": "*" } ] }
無法在 Route53 中刪除 SOA 記錄。它是任何 DNS 區域的組成部分。而且我相信NS記錄也不能刪除,它們是由Route53管理的。無論您的 IAM 權限如何。
如果您使用 Route53 創建了託管區域,則會自動創建 2 個記錄集,它們是 NS 記錄和 SOA 記錄。沒有人刪除 NS,也無法刪除 SOA 記錄。