如何限制iam用户只创建私有托管区域并拒绝公共托管区域

Question

我试图编写一个iam策略来限制公共托管区域，并且只允许私有区域。

我看到，对于私有和公共创建route53:CreateHostedZone，iam的操作都是相同的。

如何才能做到这一点。

Answer 1

我认为使用IAM策略是不可能的.

查看一下表，该表列出操作和支持的条件键。，我们可以看到，CreateHostedZone操作没有特定的条件键。

这意味着唯一适用的条件键是全局条件键，不幸的是，它也无助于您。因此，阻止这一行动似乎是不可能的。

这使您可以选择检测它，在这种情况下，您可能需要使用AWS配置并为其编写自定义规则。然后，您还可以配置Lambda函数，以便在创建公共托管区域时自动删除它。