我想以编程方式更改Amazon Route 53上托管区域内记录集的CNAME,但我想仅将用户的访问限制为该记录集。对于我在文档中看到的内容,IAM仅允许基于“托管区域”或“更改”指定操作。这意味着我的用户需要拥有对我所有记录集的控制权才能更改单个记录。
在这种情况下,代码错误的后果不只是灾难性的。如果由于任何原因对托管区域名称的检查都不正确,我可能会因错误而将更改应用于多个记录集(想象许多记录集现在指向同一框/基础结构)。
我的问题不是关于不使代码出错,而是关于创建用户以保护系统免受此类可能性的影响。有一种方法可以限制访问(或解决方法),以允许新的IAM用户仅访问一个/有限的一组托管区域。
在IAM级别,而不是通过编程。
谢谢。