我正在尝试找出一种方法,让角色允许组织帐户在不同帐户拥有的托管区域中创建记录,该记录必须包含其帐户 ID
就像这样
service-a.ACCOUNT_ID.shareddomain.tld
我知道有多种方法可以在策略本身中获取帐户,但是是否可以将其与创建记录集权限连接以仅允许这种模式
并避免像这样“伪造”记录
service-a.OTHER_ACCOUNT_ID.shareddomain.tld
来自 ACCOUNT_ID
您看过 AWS SCP 吗? https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html 你可以有这样的东西
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:ChangeResourceRecordSets" ], "Resource": [ "arn:aws:route53:::hostedzone/*" ], "Condition": { "StringLike": { "route53:ChangeBatchRecordNames": [ "*<AWS_ACCOUNT_ID>*" ] } } } ] }