Amazon Route 53, restringe o acesso do usuário do IAM ao conjunto de registros único

13

Gostaria de alterar programaticamente o CNAME de um conjunto de registros dentro de uma zona hospedada no Amazon Route 53, mas gostaria de restringir o acesso do usuário SOMENTE a esse conjunto de registros. Pelo que vi na documentação, o IAM permite especificar a operação apenas com base em "zona hospedada" ou "alterações". Isso significa que meu usuário precisa ter poder sobre TODOS os meus registros configurados para alterar um único.

As consequências de um erro no código em um caso como esse são mais do que catastróficas. Se as verificações no nome da zona hospedada estiverem incorretas, por qualquer motivo, eu poderia aplicar as alterações em mais de um conjunto de registros (imagine muitos conjuntos de registros apontando agora na mesma caixa / infraestrutura).

Minha pergunta não é sobre não cometer erros no código, mas sobre a criação de um usuário para proteger o sistema de tais possibilidades. Existe uma maneira de restringir o acesso (ou uma solução alternativa) para permitir que um novo usuário do IAM acesse apenas um / um conjunto limitado de zonas hospedadas.

No nível IAM, não programaticamente.

Obrigado.

Fabrizio S
fonte

Respostas:

11

Uma maneira de fazer isso é criar uma nova zona que seja um subdomínio do domínio principal, como stuff.example.comdelegar o NS do subdomínio a essa zona secundária. Dê a eles privilégios de IAM na zona desse subdomínio e eles poderão criar subdomínios como my.stuff.example.com. Para registros que você quer ser cidadãos de primeira classe, você poderia CNAME my.example.comaté my.stuff.example.com, que funcionalmente lhes permitisse gerir esse subdomínio sem ter privilégios totais.

ceejayoz
fonte
2
Sim, concordo que provavelmente isso é viável. É uma boa solução alternativa enquanto espero por mais permissões granulares.
Fabrizio S
4

Eu tive a chance de fazer essa pergunta a um casal de arquitetos de soluções aws na última conferência da amazon aws e eles me confirmaram que não é possível. O IAM ou melhor, o Route53, não possui esse nível de granularidade.

Fabrizio S
fonte
1
Atualmente, há desenvolvimentos planejados para esse recurso. Esta é a última resposta oficial da Amazon:> Obrigado por mencionar isso, nós levantamos isso com nossas equipes de desenvolvimento para considerações futuras. >> Se você tiver outras sugestões, informe-nos. Atenciosamente, Davin G. Eu sugiro que você vote
novamente
3

Você pode criar a função AWS Lambda que faz essa alteração (apenas para esse registro único) e faz uma política de chamada para esta função.

Dmytro
fonte