Amazon Route 53, restreindre l'accès des utilisateurs IAM à un seul jeu d'enregistrements

15

Je voudrais modifier par programme le CNAME d'un jeu d'enregistrements à l'intérieur d'une zone hébergée sur Amazon Route 53, mais je voudrais restreindre l'accès de l'utilisateur UNIQUEMENT à ce jeu d'enregistrements. Pour ce que j'ai vu sur la documentation, IAM permet de spécifier un fonctionnement uniquement basé sur "zone hébergée" ou "modifications". Cela signifie que mon utilisateur doit avoir le pouvoir sur TOUS mes enregistrements pour en changer un seul.

Les conséquences d'une erreur dans le code dans un cas comme celui-ci sont plus que catastrophiques. Si les vérifications sur le nom de la zone hébergée sont erronées, pour une raison quelconque, je pourrais par erreur appliquer les modifications à plusieurs jeux d'enregistrements (imaginez plusieurs jeux d'enregistrements pointant maintenant sur la même boîte / infrastructure).

Ma question n'est pas de ne pas faire d'erreurs dans le code, mais de créer un utilisateur pour protéger le système contre de telles possibilités. Il existe un moyen de restreindre l'accès (ou une solution de contournement) pour permettre à un nouvel utilisateur IAM d'accéder uniquement à un / un ensemble limité de zones hébergées.

Au niveau IAM, pas par programme.

Je vous remercie.

amazon-route53 amazon-iam Fabrizio S
la source

Réponses:

13

Une façon que vous pouvez faire est de faire une nouvelle zone qui est un sous - domaine du domaine principal, comme stuff.example.comet déléguer à cette zone secondaire de NS du sous - domaine. Donnez-leur des privilèges IAM sur la zone de ce sous-domaine et ils pourront créer des sous-domaines comme my.stuff.example.com. Pour les enregistrements que vous souhaitez être des citoyens de première classe, vous pouvez le CNAME my.example.comfaire my.stuff.example.com, ce qui leur permettrait fonctionnellement de gérer ce sous-domaine sans avoir tous les privilèges.

ceejayoz
la source
2
Oui, je suis d'accord que c'est probablement viable. Est une bonne solution de contournement pendant que j'attends des autorisations plus granulaires.
Fabrizio S
5

J'ai eu la chance de poser cette question à quelques architectes de solutions aws lors de la dernière conférence amazon aws et ils m'ont confirmé que ce n'était pas possible. IAM ou mieux Route53 n'a pas ce niveau de granularité.

Fabrizio S
la source
1
Des développements sont actuellement prévus pour cette fonctionnalité. Ceci est la dernière réponse officielle d'Amazon:> Merci d'avoir mentionné cela, nous avons soulevé cela avec nos équipes de développement pour un examen futur. >> Si vous avez d'autres suggestions, n'hésitez pas à nous en faire part. >> Cordialement, Davin G. Je vous suggère de upvote le fil lié à: forums.aws.amazon.com/thread.jspa?messageID=563952髰
tiagomatos
5

Vous pouvez créer une fonction AWS Lambda qui effectue cette modification (uniquement pour cet enregistrement unique) et créer une stratégie d'appel pour cette fonction.

Dmytro
la source