Ruta 53: delegación de cuentas cruzadas del registro APEX

Estamos implementando una pila sin servidor de AWS con múltiples entornos. Intentando seguir las mejores prácticas, creamos varias cuentas para diferentes propósitos.

Hay unaDNScuenta, que se supone que contiene todas las zonas alojadas relacionadas con este proyecto. Tiene una zona alojada para example.org.

Obtuvimos múltiples entornos y una cuenta correspondiente para cada uno. Por ahora me centraré endesarrolladorypinchar.

Así es como debería verse la configuración del host:

DESARROLLO

• app.dev.example.org (distribución de CloudFront en la cuenta de desarrollo)
• login.dev.example.org (distribución de CloudFront para la interfaz de usuario alojada de Cognito en la cuenta de desarrollo)
• api.dev.example.org (API Gateway en la cuenta de desarrollo)
• cdn.dev.example.org (distribución de CloudFront en la cuenta de desarrollo)

PRODUCCIÓN

• example.org (distribución de CloudFront en cuenta de producción)
• login.example.org (distribución de CloudFront para la interfaz de usuario alojada de Cognito en la cuenta de producción)
• api.example.org (API Gateway en la cuenta de producción)
• cdn.example.org (distribución de CloudFront en cuenta de producción)

desarrolladores sencillo. Configuración de registros NS para el subdominio dev.example.orgutilizando servidores NS de la zona alojada dev.example.orgendesarrolladorcuenta y listo.

pincharEs complicado, ya que nos gustaría usar el registro APEX de example.org. Además, login.example.orgy api.example.orgno cdn.example.orgtienen un subdominio común.

Buscando posibles soluciones, se me ocurrieron las siguientes opciones:

1. En su lugar , cree una zona alojada para example.orguna cuenta en producción. Delegar subdominios a otras cuentas (es decir,desarrollador) desde allí.
2. (No estoy seguro): cree un conjunto de delegación reutilizable. De esta manera se podrían crear dos zonas alojadas (si entendí correctamente), una enDNScuenta y uno enpincharcuenta. Estarían compartiendo los mismos servidores de nombres. Sin embargo, no pude averiguar si esto funciona entre cuentas y no lo probé todavía.
3. (No estoy seguro): configurar zonas alojadas enpincharpara cada uno login.example.org, api.example.orgy cdn.example.org. Esto permitiría configurar registros APEX de subdominios desde dentro de prodla cuenta. Esta no es una solución para el registro APEX de example.org. Además, son 3 zonas alojadas adicionales (solo para lograr una solución alternativa).

Quería ver si me pierdo algo fundamental aquí y/o si alguien tuvo una situación similar y una solución alternativa/mejor. ¿Ese caso de uso no debería ser demasiado exótico?