我创建了多个 Amazon Route 53 运行状况检查。我想要阻止所有其他用户修改这些运行状况检查,或者控制哪些用户能够修改它们。
解决方法
使用 AWS Identity and Access Management(IAM)策略来防止对您的 Route 53 运行状况检查进行更改。有关详细信息,请参阅在 Amazon Route 53 上使用基于身份的策略(IAM 策略)。
选项 1: 明确拒绝其他用户删除或更新运行状况检查
如需限制其他用户对您的运行状况检查运行删除和更新命令,请使用下列 IAM 策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"route53:DeleteHealthCheck",
"route53:UpdateHealthCheck"
],
"Resource": "*"
}
]
}
选项 2: 要求其他用户执行多重身份验证(MFA),以删除或更新运行状况检查
如需控制哪些用户能够更新运行状况检查,请使用 MFA 确保仅通过 MFA 身份验证的用户才能修改这些检查。如果用户未通过 MFA 身份验证,则他们尝试的任何更新或删除调用都会失败。
以下语句指定任何未经 MFA 身份验证的用户都无法执行所列操作:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"route53:UpdateHealthCheck",
"route53:DeleteHealthCheck"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
有关详细信息,请参阅如何使用 MFA 令牌通过 AWS 命令行界面(AWS CLI)对我的 AWS 资源访问进行身份验证?