Amazon Route 53、IAMユーザーのアクセスを単一のレコードセットに制限する

Amazon Route 53のホストゾーン内のレコードセットのCNAMEをプログラムで変更したいのですが、ユーザーのアクセスをそのレコードセットのみに制限したいと思います。ドキュメントで私が見たものについて、IAMは「ホストゾーン」または「変更」にのみ基づいて操作を指定できます。これは、ユーザーが単一のレコードセットを変更するには、すべてのレコードセットを管理する必要があることを意味します。

このような場合のコードのエラーの結果は壊滅的なもの以上です。ホストゾーン名のチェックが間違っている場合、何らかの理由で、エラーのために複数のレコードセットに変更を適用することができます（同じボックス/インフラストラクチャで多くのレコードセットが指すことを想像してください）。

私の質問は、コードにエラーを作成することではなく、そのような可能性からシステムを保護するユーザーを作成することです。アクセスを制限（または回避策）して、新しいIAMユーザーが1つまたは限られた一連のホストゾーンにのみアクセスできるようにする方法があります。

プログラムではなく、IAMレベル。

ありがとうございました。

これを行う1つの方法は、メインドメインのサブドメインである新しいゾーンを作成することですstuff.example.com。たとえば、サブドメインのNSをそのセカンダリゾーンに委任します。そのサブドメインのゾーンにIAM権限を付与すると、のようなサブドメインを作成できるようになりますmy.stuff.example.com。ファーストクラスの市民にしたいレコードの場合は、を実行するCNAME my.example.comとmy.stuff.example.com、完全な権限を持たずに機能的にサブドメインを管理できます。

前回のアマゾンawsカンファレンスで、この質問をawsソリューションアーキテクトに尋ねる機会がありましたが、彼らは私には不可能だと確認しました。IAM以上のRoute53には、そのレベルの粒度がありません。

この変更を行うAWS Lambda関数を作成し（この単一のレコードに対してのみ）、この関数の呼び出しポリシーを作成できます。