跨账户 DNS 关联的 AWS 权限

摘要：我在关联同一 AWS 区域内不同账户的私有 DNS 托管区域时遇到了权限问题

我有两个 AWS 账户，每个账户中我都创建了一个 VPC 和服务器等。第一个账户（11112222）从私有子网提供一些服务，并带有私有 DNS 托管区域等。

我想向我的第二个帐户 (22223333) 提供我的私有子网上服务的 DNS 查找，该帐户包含一个“项目”VPC 和服务器。我已创建从项目到服务 VPC 的对等连接，并在服务 VPC 端接受了它，设置了路由等。

对于 DNS，我通过运行以下命令创建了关联授权： aws route53 create-vpc-association-authorization --hosted-zone-id Z333AEF1GGC --vpc VPCRegion=eu-west-1,VPCId=vpc-012345678

我可以验证它已经对做了一些事情list-vpc-association-authorizations。

在“服务” VPC 上，我很难“接受”关联。我正在运行： aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z333AEF1GGC --vpc VPCRegion=eu-west-1,VPCId=vpc-abcdef01234

然而，这句话是： An error occurred (AccessDenied) when calling the AssociateVPCWithHostedZone operation: User: arn:aws:sts::22223333:assumed-role/devops/ralph is not authorized to perform: route53:AssociateVPCWithHostedZone on resource: arn:aws:route53:::hostedzone/Z333AEF1GGC

显然我做了大量的谷歌搜索并发现https://forums.aws.amazon.com/thread.jspa?threadID=243780这表明我还需要 ec2:DescribeVPCs。我们的帐户权限相当简单，因为我的假定角色上有“允许*”（对于某些 IAM 操作只有几个拒绝）。我尝试明确添加这两个权限，有和没有明确命名托管区域 ARN。但似乎什么都不起作用。

我觉得我肯定忽略了一些非常明显的东西——你知道是什么吗？有没有更好的方法来实现我想要做的事情？

附加信息（根据评论）

• 我们对所有用户帐户使用 2FA，然后“承担”一个角色来对我们的帐户执行任何操作（承担一个角色需要 2FA 身份验证）。不过使用 2FA 没有任何技术要求。我们的个人用户帐户几乎没有任何权限直接执行任何操作。