我如何阻止或限制用户更新或删除 Route 53 运行状况检查?

上次更新时间:2020 年 6 月 11 日

我创建了多个 Amazon Route 53 运行状况检查。我想要防止所有其他用户修改这些运行状况检查,或控制哪些用户可以修改它们。该如何操作?

解决方法

您可以使用 AWS Identity and Access Management (IAM) 策略防止对您的 Route 53 运行状况检查进行更改。有关更多信息,请参阅将基于身份的策略(IAM 策略)用于 Amazon Route 53

选项 1:显式拒绝其他用户删除或更新运行状况检查

使用以下 IAM 策略限制其他用户对您的运行状况检查执行删除和更新命令:

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect":"Deny",
            "Action":[
                "route53:DeleteHealthCheck",
                "route53:UpdateHealthCheck"
            ],
            "Resource":"*"
        }
    ]                              
}

选项 2:要求其他用户执行 Multi-Factor Authentication (MFA),以删除或更新运行状况检查

要控制哪些用户可以更新运行状况检查,您可以使用 MFA 确保只有经过身份验证的用户才能修改它们。如果用户没有经过身份验证,则他们进行的任何更新或删除调用将会失败。

以下语句指定任何未经身份验证的用户均无法执行列出的操作:

   {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "route53:UpdateHealthCheck",
                "route53:DeleteHealthCheck"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
     ]
   }

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?