Nosso aplicativo envia alterações no conjunto de registros do AWS Route 53 para que possamos criar novos subdomínios programaticamente. Até este ponto, tudo foi hospedado na região dos EUA-Oeste (Oregon) e está funcionando bem. Recentemente, criamos um novo cluster na região da AWS Cingapura, mas infelizmente estamos recebendo mensagens de acesso negado ao tentar criar novos conjuntos de registros do Route 53 a partir desse cluster de Cingapura. O código é idêntico, a única diferença é que agora estamos rodando em Cingapura ao invés de Oregon.
User: arn:aws:iam::1234512345:user/some_user_name is not authorized to access this resource (Service: AmazonRoute53; Status Code: 403; Error Code: AccessDenied...
O usuário do IAM associado tem permissões totais (ainda estamos em DEV) ao visualizar sua conta no AWS IAM Console. Algo parecido com isto, se me lembro:
"Statement":[{"Effect":"Allow","Action":"*","Resource":"*"}]
Existem restrições de nível mais alto aos usuários em relação às regiões? Preciso criar um novo usuário de alguma forma associado a Cingapura para que a conta possa processar nossas solicitações do Route 53? O fato de o identificador de recursos do usuário não ter uma região indica algo (arn: aws: iam: ?????: 1234512345: user / algum_usuário_)?
Acontece que eu não tinha os grupos de segurança apropriados em meu novo Singapore Load Balancer que estava sendo associado ao novo registro Route53. Associei um grupo de segurança genérico 'AWS-LB' ao balanceador de carga (em vez do grupo de segurança VPC que foi selecionado por padrão) e não obtenho mais o erro.