如何限制 iam 用户仅创建私有托管区域并拒绝 public 个托管区域

How to restrict an iam user to only create private hosted zones and deny public hosted zones

我正在尝试编写一个 iam 策略来限制 public 托管区域并仅允许私有区域。

我看到 private 和 public Create 的 iam 操作相同 route53:CreateHostedZone.

如何实现。

我认为使用 IAM 策略不可能做到这一点。

查看 table that lists the actions and supported condition keys 我们可以看到,CreateHostedZone 操作没有特定的条件键。

这意味着唯一适用的条件键是 global condition keys,不幸的是,它也无法帮助您。 因此,似乎无法阻止此操作。

这使您可以选择检测它,在这种情况下,您可能希望使用 AWS 配置并为其编写自定义规则。然后,您还可以配置 Lambda 函数以自动删除已创建的 public 托管区域。