我们的应用程序提交 AWS Route 53 记录集更改,以便我们可以通过编程方式创建新的子域。到目前为止,所有内容都托管在美国西部(俄勒冈)地区,并且运行良好。我们最近在 AWS 新加坡地区创建了一个新集群,但不幸的是,当我们尝试从这个新加坡集群创建新的 Route 53 记录集时,我们收到了拒绝访问的消息。代码是相同的,唯一的区别是我们现在在新加坡而不是俄勒冈运行。
User: arn:aws:iam::1234512345:user/some_user_name is not authorized to access this resource (Service: AmazonRoute53; Status Code: 403; Error Code: AccessDenied...
在 AWS IAM 控制台中查看其账户时,关联的 IAM 用户具有完全权限(我们仍处于开发阶段)。如果我没记错的话,类似这样的内容:
"Statement":[{"Effect":"Allow","Action":"*","Resource":"*"}]
针对区域,对用户是否有更高级别的限制?我是否需要以某种方式创建一个与新加坡关联的新用户,以便该帐户可以处理我们的 Route 53 请求?用户的资源标识符缺少区域这一事实是否表明了什么 (arn:aws:iam:?????:1234512345:user/some_user_name)?
答案1
事实证明,我新的新加坡负载均衡器上没有与新的 Route53 记录关联的适当安全组。我将通用的“AWS-LB”安全组与负载均衡器关联(而不是默认选择的 VPC 安全组),不再出现错误。