Vorrei modificare a livello di codice il CNAME di un set di record all'interno di una zona ospitata su Amazon Route 53, ma vorrei limitare l'accesso dell'utente SOLO a quel set di record. Per quanto ho visto nella documentazione, IAM consente di specificare l'operazione solo in base a "zona ospitata" o "modifiche". Ciò significa che il mio utente deve avere il potere su TUTTI i miei record impostati per cambiarne uno singolo.
Le conseguenze di un errore nel codice in un caso come questo sono più che catastrofiche. Se i controlli sul nome della zona ospitata sono errati, per qualsiasi motivo, potrei per errore applicare le modifiche a più di un set di record (immagina molti set di record che puntano ora sulla stessa casella / infrastruttura).
La mia domanda non è di non fare errori nel codice, ma di creare un utente per proteggere il sistema da tali possibilità. Esiste un modo per limitare l'accesso (o una soluzione alternativa) per consentire a un nuovo utente IAM di accedere a una / una serie limitata di Zone ospitate.
A livello IAM, non a livello di codice.
Grazie.