為細分賬號權限,提升賬號安全性,您可以通過訪問控制RAM(Resource Access Management)將域名的管理權限授權給RAM用戶,使被授權的RAM用戶可以管理域名。本文為您介紹如何授權RAM用戶管理域名。
前提條件
已成功創建RAM用戶,請參見創建RAM用戶。
背景信息
訪問控制RAM是阿里云提供的資源訪問控制服務,您可以通過RAM授權RAM用戶管理域名。默認支持系統策略和自定義策略兩種,域名的系統策略目前僅支持AliyunDomainFullAccess,即管理域名的權限策略。如果系統策略無法滿足您的需求,您可以創建自定義策略實現精細化權限管理。
通過選擇系統策略授權RAM用戶讀寫權限
您可以通過RAM控制臺,添加AliyunDomainFullAccess系統策略給對應的RAM用戶,授權RAM用戶管理域名。該權限允許被授權的RAM用戶管理主賬號下的所有域名資源,屬于最大權限。
通過腳本編輯方式新建權限策略:授權RAM用戶只讀權限
您可以通過RAM控制臺創建自定義策略,授權給RAM用戶只讀權限。該權限允許被授權的RAM用戶查看主賬號下的域名,但不支持對域名進行管理。
在左側導航欄,選擇。
在權限策略頁面,單擊創建權限策略。
在創建權限策略頁面,單擊腳本編輯頁簽。
在腳本編輯文本框中,輸入以下自定義策略的腳本,完成后單擊繼續編輯基本信息。
{ "Version": "1", "Statement": [ { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
輸入權限策略名稱和備注(可選填)。
更多相關配置詳情說明,請參見通過腳本編輯模式創建自定義權限策略。
單擊確定。
您可以通過以下兩種方式查看已創建的自定義策略。
方式一:在權限策略頁面,在策略類型下拉列表中選中自定義策略。
方式二:在新增授權面板,選擇自定義策略。
通過腳本編輯方式新建權限策略:授權RAM用戶管理單個域名的權限
您可以通過RAM控制臺創建自定義策略,授權RAM用戶管理某個域名的權限。該權限允許被授權的RAM用戶管理某一個域名的資源,例如,授權RAM用戶管理example.com域名。具體操作,請參見下文。
目前僅支持對以下Action授權,關于各Action的鑒權規則,具體請參見Domain API鑒權規則。
RAM子賬號授權成功后,您可以使用RAM子賬號登錄阿里云域名控制臺并查看主賬號下的所有域名,但只能對被授權的域名進行管理操作。
在左側導航欄,選擇。
在權限策略頁面,單擊創建權限策略。
在創建權限策略頁面,單擊腳本編輯頁簽。
在腳本編輯文本框中,輸入以下自定義策略的腳本,其中
example.com需替換為目標域名,完成后單擊繼續編輯基本信息。{ "Version": "1", "Statement": [ { "Action": [ "domain:DnsModification", "domain:SecuritySetting", "domain:RealNameVerificationOperation", "domain:DnsHostModification", "domain:CreateOrderActivate", "domain:CreateOrderRenew", "domain:CreateOrderRedeem", "domain:CreateOrderTransfer", "domain:DomainTransferInOperation", "domain:DomainTransferOutOperation", "domain:QualificationAuditOperation", "domain:EnsSetting", "domain:DnsSecSetting", "domain:SaveArtExtension", "domain:CreateOrderPendingDelete" ], "Resource": "acs:domain:*:*:domain/example.com", "Effect": "Allow" }, { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
輸入權限策略名稱和備注(可選填)。
更多相關配置詳情說明,請參見通過腳本編輯模式創建自定義權限策略。
單擊確定。
您可以通過以下兩種方式查看已創建的自定義策略。
方式一:在權限策略頁面,在策略類型下拉列表中選中自定義策略。
方式二:在添加權限面板,單擊自定義策略。
后續步驟
使用被授權的RAM用戶的賬號登錄控制臺,請參見RAM用戶登錄阿里云控制臺。