Gostaria de alterar programaticamente o CNAME de um conjunto de registros dentro de uma zona hospedada no Amazon Route 53, mas gostaria de restringir o acesso do usuário SOMENTE a esse conjunto de registros. Pelo que vi na documentação, o IAM permite especificar a operação apenas com base em "zona hospedada" ou "alterações". Isso significa que meu usuário precisa ter poder sobre TODOS os meus registros configurados para alterar um único.
As consequências de um erro no código em um caso como esse são mais do que catastróficas. Se as verificações no nome da zona hospedada estiverem incorretas, por qualquer motivo, eu poderia aplicar as alterações em mais de um conjunto de registros (imagine muitos conjuntos de registros apontando agora na mesma caixa / infraestrutura).
Minha pergunta não é sobre não cometer erros no código, mas sobre a criação de um usuário para proteger o sistema de tais possibilidades. Existe uma maneira de restringir o acesso (ou uma solução alternativa) para permitir que um novo usuário do IAM acesse apenas um / um conjunto limitado de zonas hospedadas.
No nível IAM, não programaticamente.
Obrigado.
fonte
Eu tive a chance de fazer essa pergunta a um casal de arquitetos de soluções aws na última conferência da amazon aws e eles me confirmaram que não é possível. O IAM ou melhor, o Route53, não possui esse nível de granularidade.
fonte
Você pode criar a função AWS Lambda que faz essa alteração (apenas para esse registro único) e faz uma política de chamada para esta função.
fonte