Amazon Route 53, restringe el acceso de los usuarios de IAM a un único conjunto de registros

14

Me gustaría cambiar programáticamente el CNAME de un conjunto de registros dentro de una zona alojada en Amazon Route 53, pero me gustaría restringir el acceso del usuario SOLO a ese conjunto de registros. Por lo que he visto en la documentación, IAM permite especificar la operación solo en función de "zona alojada" o "cambios". Esto significa que mi usuario necesita tener poder sobre TODOS mis registros establecidos para cambiar uno solo.

Las consecuencias de un error en el código en un caso como este son más que catastróficas. Si las comprobaciones en el nombre de la zona alojada son incorrectas, por alguna razón, podría aplicar los cambios por error a más de un conjunto de registros (imagine que muchos Conjuntos de registros señalan ahora en la misma caja / infraestructura).

Mi pregunta no se trata de no cometer errores en el código, sino de crear un usuario para proteger el sistema de tales posibilidades. Hay una manera de restringir el acceso (o una solución alternativa) para permitir que un nuevo usuario de IAM acceda a uno / a un conjunto limitado de zonas alojadas únicamente.

En el nivel IAM, no programáticamente.

Gracias.

Fabrizio S
fuente

Respuestas:

11

Una forma de hacerlo es crear una nueva zona que sea un subdominio del dominio principal, como stuff.example.comy delegar el NS del subdominio a esa zona secundaria. Otorgue privilegios de IAM a la zona de ese subdominio y podrán crear subdominios como my.stuff.example.com. Para los registros en los que desea ser ciudadanos de primera clase, puede CNAME my.example.comhacerlo my.stuff.example.com, lo que les permitiría funcionalmente administrar ese subdominio sin tener todos los privilegios.

ceejayoz
fuente
2
Sí, estoy de acuerdo en que probablemente eso sea viable. Es una buena solución mientras espero permisos más granulares.
Fabrizio S
4

Tuve la oportunidad de hacerle esta pregunta a un par de arquitectos de soluciones de AWS en la última conferencia de Amazon AWS y me confirmaron que no es posible. IAM o mejor Route53 no tiene ese nivel de granularidad.

Fabrizio S
fuente
1
Actualmente hay desarrollos planificados para esta característica. Esta es la última respuesta oficial de Amazon:> Gracias por mencionar esto, hemos planteado esto con nuestros> equipos de desarrollo para su consideración futura. >> Si tiene alguna otra sugerencia, háganoslo saber. >> Saludos, Davin G. Sugeriría que votaran el hilo relacionado en: forums.aws.amazon.com/thread.jspa?messageID=563952髰
tiagomatos
4

Puede crear la función AWS Lambda que realice este cambio (solo para este registro único) y realizar una política de invocación para esta función.

Dmytro
fuente