我如何阻止或限制用户更新或删除 Route 53 运行状况检查?
上次更新时间:2020 年 6 月 11 日
我创建了多个 Amazon Route 53 运行状况检查。我想要防止所有其他用户修改这些运行状况检查,或控制哪些用户可以修改它们。该如何操作?
解决方法
您可以使用 AWS Identity and Access Management (IAM) 策略防止对您的 Route 53 运行状况检查进行更改。有关更多信息,请参阅将基于身份的策略(IAM 策略)用于 Amazon Route 53。
选项 1:显式拒绝其他用户删除或更新运行状况检查
使用以下 IAM 策略限制其他用户对您的运行状况检查执行删除和更新命令:
{
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Action":[
"route53:DeleteHealthCheck",
"route53:UpdateHealthCheck"
],
"Resource":"*"
}
]
}
选项 2:要求其他用户执行 Multi-Factor Authentication (MFA),以删除或更新运行状况检查
要控制哪些用户可以更新运行状况检查,您可以使用 MFA 确保只有经过身份验证的用户才能修改它们。如果用户没有经过身份验证,则他们进行的任何更新或删除调用将会失败。
以下语句指定任何未经身份验证的用户均无法执行列出的操作:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}