尽管角色在策略中有 route53Domains:*，但 ChangeResourceRecordSets 上的 403答案

【问题标题】：403 on ChangeResourceRecordSets despite the role having route53Domains:* in the policy尽管角色在策略中有 route53Domains:*，但 ChangeResourceRecordSets 上的 403
【发布时间】：2020-12-08 12:38:30
【问题描述】：

错误

User: arn:aws:sts::[redacted]:assumed-role/laravel-vapor-role/vapor-[redacted]-platform-staging-queue is not authorized to perform: route53:ChangeResourceRecordSets on resource: arn:aws:route53:::hostedzone/[redacted]

我的角色

{
  "permissionsBoundary": {},
  "roleName": "laravel-vapor-role",
  "policies": [
    {
      "document": {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Action": [
              "ec2:CreateNetworkInterface",
              "ec2:DeleteNetworkInterface",
              "ec2:DescribeNetworkInterfaces",
              "logs:CreateLogGroup",
              "logs:CreateLogStream",
              "logs:FilterLogEvents",
              "logs:PutLogEvents",
              "ssm:GetParameters",
              "ssm:GetParameter",
              "lambda:invokeFunction",
              "s3:*",
              "ses:*",
              "sqs:*",
              "dynamodb:*",
              "route53domains:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
          }
        ]
      },
      "name": "laravel-vapor-role-policy",
      "type": "inline"
    }
  ],
  "trustedEntities": [
    "apigateway.amazonaws.com",
    "lambda.amazonaws.com"
  ]
}

【问题讨论】：

试着看看这是同样的问题，但不是aws。 here
谢谢，但知道我的问题是什么。

标签： php amazon-web-services amazon-route53

【解决方案1】：

您的政策不包括 route53:ChangeResourceRecordSets：

授予创建、更新或删除记录的权限，该记录包含指定域或子域名的权威 DNS 信息

您只有"route53domains:*" 权限，但您没有 route53:* 或route53:ChangeResourceRecordSets。

ChangeResourceRecordSets 来自route53，而不是来自route53domains。

【讨论】：