अमेज़ॅन रूट 53, आईएएम उपयोगकर्ता को एकल रिकॉर्ड सेट तक सीमित कर देता है

मैं अमेज़ॅन रूट 53 पर एक होस्टेड ज़ोन के अंदर रिकॉर्ड सेट के CNAME को प्रोग्रामेटिक रूप से बदलना चाहूंगा, लेकिन मैं केवल उस रिकॉर्ड सेट पर उपयोगकर्ता की पहुंच को प्रतिबंधित करना चाहूंगा। दस्तावेज़ीकरण पर जो मैंने देखा है, उसके लिए IAM केवल "होस्ट-ज़ोन" या "परिवर्तन" के आधार पर ऑपरेशन को निर्दिष्ट करने की अनुमति देता है। इसका मतलब यह है कि मेरे उपयोगकर्ता को किसी एक को बदलने के लिए मेरे सभी रिकॉर्ड सेट पर शक्ति होने की आवश्यकता है।

इस तरह से कोड में एक त्रुटि के परिणाम भयावह से अधिक हैं। यदि किसी भी कारण से होस्ट किए गए ज़ोन के नाम पर चेक गलत हैं, तो मैं एक से अधिक रिकॉर्ड सेट में परिवर्तन लागू करने में त्रुटि के लिए आवेदन कर सकता हूं (एक ही बॉक्स / इन्फ्रास्ट्रक्चर पर अब इंगित कई रिकॉर्ड सेट की कल्पना करें)।

मेरा प्रश्न कोड में त्रुटियां नहीं करने के बारे में है, लेकिन सिस्टम को ऐसी संभावनाओं से बचाने के लिए उपयोगकर्ता बनाने के बारे में है। एक नया IAM उपयोगकर्ता को केवल होस्ट किए गए सेट के सीमित / सीमित उपयोग की अनुमति देने के लिए एक्सेस (या वर्कअराउंड) को प्रतिबंधित करने का एक तरीका है।

IAM स्तर पर, प्रोग्रामेटिक रूप से नहीं।

धन्यवाद।

ऐसा करने का एक तरीका यह है कि आप एक नया क्षेत्र बना सकते हैं जो मुख्य डोमेन का एक उपडोमेन है, stuff.example.comऔर उस उपनिवेश क्षेत्र में उपडोमेन के एनएस को प्रत्यायोजित करें। उन्हें उस सबडोमेन क्षेत्र के लिए IAM विशेषाधिकार दें और वे जैसे उप-डोमेन बनाने में सक्षम होंगे my.stuff.example.com। उन रिकॉर्ड्स के CNAME my.example.comलिए my.stuff.example.com, जो आप प्रथम श्रेणी के नागरिक बनना चाहते हैं, आप कर सकते हैं , जो कार्यात्मक रूप से उन्हें पूर्ण विशेषाधिकार प्राप्त किए बिना उस उपडोमेन को प्रबंधित करने की अनुमति देगा।

मुझे इस सवाल को पूछने का मौका दिया गया था कि पिछले अमेज़ॅन एवर्स कॉन्फ्रेंस में एक जोड़ी समाधान आर्किटेक्ट्स ने कहा था कि उन्होंने पुष्टि की कि यह संभव नहीं है। IAM या बेहतर रूट 53 में ग्रैन्युलैरिटी का स्तर नहीं है।

आप AWS लाम्बा फ़ंक्शन बना सकते हैं जो इस परिवर्तन (केवल इस एकल रिकॉर्ड के लिए) को बनाते हैं और इस फ़ंक्शन के लिए एक आवर्तक नीति बनाते हैं।