Наше приложение отправляет изменения набора записей AWS Route 53, чтобы мы могли программно создавать новые поддомены. До этого момента все было размещено в регионе Запад США (Орегон) и работает нормально. Недавно мы создали новый кластер в регионе AWS Singapore, но, к сожалению, мы получаем сообщения об отказе в доступе при попытке создать новые наборы записей Route 53 из этого сингапурского кластера. Код идентичен, с той лишь разницей, что мы сейчас работаем в Сингапуре, а не в Орегоне.
User: arn:aws:iam::1234512345:user/some_user_name is not authorized to access this resource (Service: AmazonRoute53; Status Code: 403; Error Code: AccessDenied...
Связанный пользователь IAM имеет полные разрешения (мы все еще находимся в разработке) при просмотре своей учетной записи в консоли AWS IAM. Что-то вроде этого, если я помню:
"Statement":[{"Effect":"Allow","Action":"*","Resource":"*"}]
Существуют ли ограничения более высокого уровня для пользователей в отношении регионов? Нужно ли мне создавать нового пользователя, каким-то образом связанного с Сингапуром, чтобы эта учетная запись могла обрабатывать наши запросы Route 53? Указывает ли на что-то тот факт, что в идентификаторе ресурса пользователя отсутствует регион (arn: aws: iam: ?????: 1234512345: user / some_user_name)?
Оказалось, что у меня не было соответствующих групп безопасности на моем новом балансировщике нагрузки Singapore Load Balancer, который был связан с новой записью Route53. Я связал общую группу безопасности AWS-LB с балансировщиком нагрузки (вместо группы безопасности VPC, которая была выбрана по умолчанию), и больше не получаю сообщение об ошибке.