Я написал политику IAM, чтобы ограничить пользователей IAM только использованием одной размещенной зоны для тестирования, но как я могу ограничить пользователей IAM удалением записей NS и наборов записей SOA этой размещенной зоны.
PFB моя политика IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"route53:GetChange",
"route53:ListTrafficPolicyVersions",
"route53:GetHostedZone",
"route53:GetHealthCheck",
"route53:DeleteHealthCheck",
"route53:UpdateHealthCheck",
"route53:ListQueryLoggingConfigs",
"route53:ListResourceRecordSets",
"route53:GetTrafficPolicyInstance",
"route53:UpdateHostedZoneComment",
"route53:GetQueryLoggingConfig",
"route53:UpdateTrafficPolicyComment",
"route53:UpdateTrafficPolicyInstance",
"route53:GetHealthCheckLastFailureReason",
"route53:GetHealthCheckStatus",
"route53:ListTrafficPolicyInstancesByHostedZone",
"route53:ListVPCAssociationAuthorizations",
"route53:GetReusableDelegationSetLimit",
"route53:ChangeResourceRecordSets",
"route53:GetReusableDelegationSet",
"route53:ListTagsForResource",
"route53:ListTagsForResources",
"route53:ListTrafficPolicyInstancesByPolicy",
"route53:GetHostedZoneLimit",
"route53:GetTrafficPolicy"
],
"Resource": "arn:aws:route53:::hostedzone/Z03200001ZUWD7XXXXXXX"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"route53:ListReusableDelegationSets",
"route53:ListTrafficPolicyInstances",
"route53:GetTrafficPolicyInstanceCount",
"route53:CreateReusableDelegationSet",
"route53:CreateTrafficPolicy",
"route53:TestDNSAnswer",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:GetAccountLimit",
"route53:GetCheckerIpRanges",
"route53:ListHealthChecks",
"route53:CreateHealthCheck",
"route53:ListTrafficPolicies",
"route53:GetGeoLocation",
"route53:ListGeoLocations",
"route53:GetHostedZoneCount",
"route53:GetHealthCheckCount"
],
"Resource": "*"
}
]
}
Если вы создали размещаемую зону с помощью Route53, автоматически создаются 2 набора записей, это запись NS и запись SOA. Никто не удаляет NS и записи SOA удалить нельзя.
Запись SOA не может быть удалена в Route53. Это неотъемлемая часть любой зоны DNS. И я считаю, что NS-записи тоже нельзя удалить, ими управляет Route53. Независимо от ваших разрешений IAM.