Amazon Route 53, ограничить доступ пользователей IAM к одному набору записей

Я хотел бы программно изменить CNAME набора записей в размещенной зоне на Amazon Route 53, но я бы хотел ограничить доступ пользователя ТОЛЬКО к этому набору записей. Для того, что я видел в документации, IAM позволяет указывать операции только на основе «hosted-zone» или «изменений». Это означает, что мой пользователь должен иметь возможность управлять ВСЕМ моим набором записей, чтобы изменить один.

Последствия ошибки в коде в подобном случае более чем катастрофичны. Если проверки по имени размещенной зоны по какой-либо причине неверны, я мог бы по ошибке применить изменения к более чем одному набору записей (представьте, что множество Наборов записей теперь указывают на один и тот же блок / инфраструктуру).

Мой вопрос не о том, чтобы делать ошибки в коде, а о том, чтобы создать пользователя для защиты системы от таких возможностей. Существует способ ограничить доступ (или обходной путь), чтобы позволить новому пользователю IAM получить доступ только к одному / ограниченному набору размещенных зон.

На уровне IAM, а не программно.

Спасибо.

Один из способов сделать это - создать новую зону, которая является поддоменом основного домена, например, stuff.example.comделегировать NS субдомена этой вторичной зоне. Дайте им привилегии IAM для зоны этого субдомена, и они смогут создавать такие субдомены, как my.stuff.example.com. Для записей, которые вы хотите быть первоклассными гражданами, вы можете CNAME my.example.comсделать это my.stuff.example.com, что функционально позволит им управлять этим поддоменом без полных привилегий.

У меня была возможность задать этот вопрос архитектору нескольких решений aws на последней конференции amazon aws, и они подтвердили, что это невозможно. IAM или лучше Route53 не имеет такого уровня детализации.

Вы можете создать лямбда-функцию AWS, которая внесет это изменение (только для этой отдельной записи) и создаст политику вызова для этой функции.