Amazon Route 53, IAM 사용자 액세스를 단일 레코드 세트로 제한

Amazon Route 53의 호스팅 영역 내에서 레코드 세트의 CNAME을 프로그래밍 방식으로 변경하고 싶지만 사용자의 액세스 만 해당 레코드 세트로 제한하고 싶습니다. 설명서에서 확인한 내용에 대해 IAM은 "호스트 영역"또는 "변경"을 기반으로 만 작업을 지정할 수 있습니다. 즉, 사용자는 단일 레코드를 변경하려면 모든 내 레코드 세트를 제어해야합니다.

이와 같은 경우 코드 오류의 결과는 치명적입니다. 호스팅 영역 이름의 검사가 잘못된 경우 어떤 이유로 든 둘 이상의 레코드 세트에 변경 사항을 적용 할 수 없습니다 (현재 동일한 상자 / 인프라를 가리키는 많은 레코드 세트를 상상해보십시오).

내 질문은 코드에서 오류를 만드는 것이 아니라 시스템을 그러한 가능성으로부터 보호하기 위해 사용자를 만드는 것입니다. 새 IAM 사용자가 하나의 제한된 호스팅 영역 세트에만 액세스 할 수 있도록 액세스 (또는 해결 방법)를 제한하는 방법이 있습니다.

프로그래밍 방식이 아닌 IAM 수준에서.

감사합니다.

이를 수행 할 수있는 한 가지 방법은 기본 도메인의 하위 도메인 인 새 영역을 만들고 stuff.example.com하위 도메인의 NS를 해당 보조 영역에 위임하는 것입니다. 해당 하위 도메인 영역에 IAM 권한을 부여하면와 같은 하위 도메인을 생성 할 수 있습니다 my.stuff.example.com. 기록을 위해 당신은 당신이 수, 일류 시민할지 CNAME my.example.com에 대한 my.stuff.example.com모든 권한을하지 않고 하위 도메인을 관리하도록 허용 기능적 것이다.

나는 마지막 아마존 컨퍼런스에서 두 개의 AWS 솔루션 아키텍트 에게이 질문을 할 기회가 있었고 그들은 불가능하다는 것을 확인했습니다. IAM 이상의 Route53에는 해당 수준의 세분성이 없습니다.

이 변경을 수행하고 (이 단일 레코드에 대해서만) AWS Lambda 함수를 생성하고이 함수에 대한 호출 정책을 만들 수 있습니다.