如何防止或限制用户更新或删除我的 Route 53 运行状况检查?

1 分钟阅读
0

我创建了多个 Amazon Route 53 运行状况检查。我想要阻止所有其他用户修改这些运行状况检查,或者控制哪些用户能够修改它们。

解决方法

使用 AWS Identity and Access Management(IAM)策略来防止对您的 Route 53 运行状况检查进行更改。有关详细信息,请参阅在 Amazon Route 53 上使用基于身份的策略(IAM 策略)

选项 1: 明确拒绝其他用户删除或更新运行状况检查

如需限制其他用户对您的运行状况检查运行删除和更新命令,请使用下列 IAM 策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "route53:DeleteHealthCheck",
        "route53:UpdateHealthCheck"
      ],
      "Resource": "*"
    }
  ]
}

选项 2: 要求其他用户执行多重身份验证(MFA),以删除或更新运行状况检查

如需控制哪些用户能够更新运行状况检查,请使用 MFA 确保仅通过 MFA 身份验证的用户才能修改这些检查。如果用户未通过 MFA 身份验证,则他们尝试的任何更新或删除调用都会失败。

以下语句指定任何未经 MFA 身份验证的用户都无法执行所列操作:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Deny",
      "Action": [
        "route53:UpdateHealthCheck",
        "route53:DeleteHealthCheck"
      ],
      "Resource": "*",
      "Condition": {
        "BoolIfExists": {
          "aws:MultiFactorAuthPresent": "false"
        }
      }
    }
  ]
}

有关详细信息,请参阅如何使用 MFA 令牌通过 AWS 命令行界面(AWS CLI)对我的 AWS 资源访问进行身份验证?

AWS 官方
AWS 官方已更新 1 年前
没有评论