Amazon Route 53, обмежте доступ користувача IAM до одного запису

Я хотів би програматично змінити CNAME набору записів всередині розміщеної зони на Amazon Route 53, але я хотів би обмежити доступ користувача ТОЛЬКО до цього набору записів. Що я бачив у документації, IAM дозволяють вказувати операцію лише на основі "розміщеної зони" або "змін". Це означає, що мій користувач повинен мати владу над ВСІМ моїми записами, щоб змінити один.

Наслідки помилки в коді у такому випадку є більш ніж катастрофічними. Якщо перевірки назви розміщеної зони є помилковими, з будь-якої причини я можу помилково застосувати зміни до більш ніж одного набору записів (уявіть, що багато Набір записів вказує зараз на одне поле / інфраструктуру).

Моє питання не в тому, щоб не робити помилок у коді, а про те, щоб створити користувача для захисту системи від таких можливостей. Існує спосіб обмежити доступ (або спосіб вирішення), щоб дозволити новому користувачеві IAM отримати доступ лише до однієї / обмеженого набору розміщених зон.

На рівні IAM, не програмно.

Дякую.

Один із способів зробити це можна - створити нову зону, яка є піддоменом основного домену, як, наприклад, stuff.example.comі делегувати NS субдомену до цієї вторинної зони. Надайте їм привілеї IAM в зоні цього субдомену, і вони зможуть створити подібні субдомени my.stuff.example.com. Для записів, що ви хочете бути громадянами першого класу, ви могли б CNAME my.example.comзробити це my.stuff.example.com, що функціонально дозволило б їм керувати цим субдоменом, не маючи повних привілеїв.

На останній конференції Amazon Aws у мене було можливість задати це запитання пару архітекторів рішень, і вони підтвердили, що це неможливо. IAM або краще Route53 не мають такого рівня деталізації.

Ви можете створити функцію AWS Lambda, яка внесе цю зміну (лише для цього одного запису) та створить політику виклику для цієї функції.