अमेज़ॅन रूट 53, आईएएम उपयोगकर्ता को एकल रिकॉर्ड सेट तक सीमित कर देता है


15

मैं अमेज़ॅन रूट 53 पर एक होस्टेड ज़ोन के अंदर रिकॉर्ड सेट के CNAME को प्रोग्रामेटिक रूप से बदलना चाहूंगा, लेकिन मैं केवल उस रिकॉर्ड सेट पर उपयोगकर्ता की पहुंच को प्रतिबंधित करना चाहूंगा। दस्तावेज़ीकरण पर जो मैंने देखा है, उसके लिए IAM केवल "होस्ट-ज़ोन" या "परिवर्तन" के आधार पर ऑपरेशन को निर्दिष्ट करने की अनुमति देता है। इसका मतलब यह है कि मेरे उपयोगकर्ता को किसी एक को बदलने के लिए मेरे सभी रिकॉर्ड सेट पर शक्ति होने की आवश्यकता है।

इस तरह से कोड में एक त्रुटि के परिणाम भयावह से अधिक हैं। यदि किसी भी कारण से होस्ट किए गए ज़ोन के नाम पर चेक गलत हैं, तो मैं एक से अधिक रिकॉर्ड सेट में परिवर्तन लागू करने में त्रुटि के लिए आवेदन कर सकता हूं (एक ही बॉक्स / इन्फ्रास्ट्रक्चर पर अब इंगित कई रिकॉर्ड सेट की कल्पना करें)।

मेरा प्रश्न कोड में त्रुटियां नहीं करने के बारे में है, लेकिन सिस्टम को ऐसी संभावनाओं से बचाने के लिए उपयोगकर्ता बनाने के बारे में है। एक नया IAM उपयोगकर्ता को केवल होस्ट किए गए सेट के सीमित / सीमित उपयोग की अनुमति देने के लिए एक्सेस (या वर्कअराउंड) को प्रतिबंधित करने का एक तरीका है।

IAM स्तर पर, प्रोग्रामेटिक रूप से नहीं।

धन्यवाद।

जवाबों:


13

ऐसा करने का एक तरीका यह है कि आप एक नया क्षेत्र बना सकते हैं जो मुख्य डोमेन का एक उपडोमेन है, stuff.example.comऔर उस उपनिवेश क्षेत्र में उपडोमेन के एनएस को प्रत्यायोजित करें। उन्हें उस सबडोमेन क्षेत्र के लिए IAM विशेषाधिकार दें और वे जैसे उप-डोमेन बनाने में सक्षम होंगे my.stuff.example.com। उन रिकॉर्ड्स के CNAME my.example.comलिए my.stuff.example.com, जो आप प्रथम श्रेणी के नागरिक बनना चाहते हैं, आप कर सकते हैं , जो कार्यात्मक रूप से उन्हें पूर्ण विशेषाधिकार प्राप्त किए बिना उस उपडोमेन को प्रबंधित करने की अनुमति देगा।


2
हां, मैं मानता हूं कि शायद यह व्यवहार्य है। जब मैं अधिक बारीक अनुमतियों की प्रतीक्षा करता हूं तो यह एक अच्छा समाधान है।
फैब्रीज़ियो एस

5

मुझे इस सवाल को पूछने का मौका दिया गया था कि पिछले अमेज़ॅन एवर्स कॉन्फ्रेंस में एक जोड़ी समाधान आर्किटेक्ट्स ने कहा था कि उन्होंने पुष्टि की कि यह संभव नहीं है। IAM या बेहतर रूट 53 में ग्रैन्युलैरिटी का स्तर नहीं है।


1
वर्तमान में इस सुविधा के लिए नियोजित घटनाक्रम हैं। यह अमेज़ॅन का अंतिम आधिकारिक उत्तर है:> इस बात का उल्लेख करने के लिए धन्यवाद, हमने इसे भविष्य के विचार के लिए हमारी> विकास टीमों के साथ उठाया है। >> यदि आपके पास कोई अन्य सुझाव है तो कृपया हमें बताएं। >> सादर, डेविन जी। मैं आपको सुझाव दूंगा
messageID=

5

आप AWS लाम्बा फ़ंक्शन बना सकते हैं जो इस परिवर्तन (केवल इस एकल रिकॉर्ड के लिए) को बनाते हैं और इस फ़ंक्शन के लिए एक आवर्तक नीति बनाते हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.