Amazon Route 53, limita l'accesso dell'utente IAM al set di record singolo

15

Vorrei modificare a livello di codice il CNAME di un set di record all'interno di una zona ospitata su Amazon Route 53, ma vorrei limitare l'accesso dell'utente SOLO a quel set di record. Per quanto ho visto nella documentazione, IAM consente di specificare l'operazione solo in base a "zona ospitata" o "modifiche". Ciò significa che il mio utente deve avere il potere su TUTTI i miei record impostati per cambiarne uno singolo.

Le conseguenze di un errore nel codice in un caso come questo sono più che catastrofiche. Se i controlli sul nome della zona ospitata sono errati, per qualsiasi motivo, potrei per errore applicare le modifiche a più di un set di record (immagina molti set di record che puntano ora sulla stessa casella / infrastruttura).

La mia domanda non è di non fare errori nel codice, ma di creare un utente per proteggere il sistema da tali possibilità. Esiste un modo per limitare l'accesso (o una soluzione alternativa) per consentire a un nuovo utente IAM di accedere a una / una serie limitata di Zone ospitate.

A livello IAM, non a livello di codice.

Grazie.

amazon-route53  amazon-iam 
Fabrizio S
fonte

Risposte:

13

Un modo per farlo è creare una nuova zona che è un sottodominio del dominio principale, come stuff.example.come delegare la NS del sottodominio a quella zona secondaria. Concedi loro i privilegi IAM sulla zona di quel sottodominio e sarebbero in grado di creare sottodomini come my.stuff.example.com. Per i record che desideri essere cittadini di prima classe, potresti CNAME my.example.comfarlo my.stuff.example.com, il che consentirebbe loro funzionalmente di gestire quel sottodominio senza avere pieni privilegi.

ceejayoz
fonte
2
Sì, sono d'accordo che probabilmente è praticabile. È una buona soluzione mentre aspetto autorizzazioni più granulari.
Fabrizio S,
5

Ho avuto la possibilità di porre questa domanda a un paio di architetti di soluzioni aws all'ultima conferenza di Amazon e mi hanno confermato che non è possibile. IAM o meglio Route53 non ha quel livello di granularità.

Fabrizio S
fonte
1
Al momento sono previsti sviluppi per questa funzione. Questa è l'ultima risposta ufficiale di Amazon:> Grazie per averlo menzionato, lo abbiamo sollevato con i nostri> team di sviluppo per future considerazioni. >> Se avete altri suggerimenti, fatecelo sapere. >> Saluti, Davin G. Ti suggerirei di votare il relativo thread su: forums.aws.amazon.com/thread.jspa?messageID=563952髰
tiagomatos,
5

Puoi creare la funzione AWS Lambda che apporta questa modifica (solo per questo singolo record) e crea una politica di invocazione per questa funzione.

Dmytro
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.