云解析DNS提供具体的 API 鉴权规则说明,主要是应用于系统策略不能满足使用的,客户需要设置自定义权限策略。

授权粒度说明

  • 服务级别(service):将云解析DNS作为一个整体进行授权。例如云解析DNS提供的系统权限策略“AliyunDNSFullAccess”、“AliyunDNSReadyOnlyAccess”就均属于服务级别的整体授权。
  • 操作级别(Action):是通过云解析DNSOPEN API级别进行授权。一个RAM用户可以对云解析DNS的某类资源执行某几个指定的操作。
  • 资源级别(Resource):对执行资源的指定操作进行授权,例如云解析DNS的可授权的DNS资源类别分别包含Domain、instance、group三种。

DNS资源类型说明

目前,可以在 RAM 中进行授权的资源类型及描述方式如下表所示:

资源类型 授权策略中的资源描述方式 描述方式
Domain acs:alidns:*:$accountid:domain/*

acs:alidns:*:$accountid:domain/$domainName

授权RAM用户管理主账号的域名,例如添加域名、删除域名、添加解析、删除解析、开通辅助DNS等等
instance acs:alidns:*:$accountid:instance/*

acs:alidns:*:$accountid:instance/$instanceid

授权子账号管理付费DNS,例如获取云解析收费版本产品列表、更换域名
group acs:alidns:*:$accountid:group/*

acs:alidns:*:$accountid:group/$groupId

授权子账号管理域名分组,例如对域名分组的创建、修改、删除等

例如:RAM用户授权管理某一个域名的完全权限,“Resource” 代表的是DNS的资源类型设置。

{
    "Version": "1",
    "Statement": [
        {
            "Action": "*",
            "Resource": "acs:alidns:*:*:domain/midengd.xyz",
            "Effect": "Allow"
        },
        {
            "Action": "*",
            "Resource": "acs:alidns:*:*:instance/alidns-cn-o400uxz3701",
            "Effect": "Allow"
        },
        {
            "Action": [
                "alidns:DescribeSiteMonitorIspInfos",
                "alidns:DescribeSiteMonitorIspCityInfos",
                "alidns:DescribeSupportLines",
                "alidns:DescribeDomains",
                "alidns:DescribeDomainNs",
                "alidns:DescribeDomainGroups"
            ],
            "Resource": "acs:alidns:*:*:*",
            "Effect": "Allow"
        }
    ]
}

API鉴权规则

Action 描述 鉴权规则
AddDomain 添加域名 acs:alidns:*:$accountid:domain/*

acs:alidns:*:$accountid:group/$groupId(若传入groupId)

DeleteDomain 删除域名 acs:alidns:*:$accountid:domain/$domainName
DescribeDomains 获取域名列表 acs:alidns:*:$accountid:domain/*
DescribeDomainInfo 获取域名信息 acs:alidns:*:$accountid:domain/$domainName
DescribeDomainWhoisInfo 获取域名 Whois 信息 acs:alidns:*:$accountid:domain/$domainName
ModifyHichinaDomainDNS 修改阿里云域名DNS acs:alidns:*:$accountid:domain/$domainName
GetMainDomainName 获取主域名名称 acs:alidns:*:$accountid:domain/*
DescribeDomainLogs 获取域名操作日志 acs:alidns:*:$accountid:domain/*
DescribeDnsProductInstances 获取云解析收费版本产品列表 acs:alidns:*:$accountid:instance/*
ChangeDomainOfDnsProduct 更换云解析产品绑定的域名 acs:alidns:*:$accountid:instance/$instanceid

acs:alidns:*:$accountid:domain/$domainName(若传入domainName)

AddDomainGroup 添加域名分组 acs:alidns:*:$accountid:group/*
UpdateDomainGroup 修改域名分组 acs:alidns:*:$accountid:group/$groupId
DeleteDomainGroup 删除域名分组 acs:alidns:*:$accountid:group/$groupId
ChangeDomainGroup 更换域名分组 acs:alidns:*:$accountid:domain/$domainName

acs:alidns:*:$accountid:group/$groupId

DescribeDomainGroups 获取域名分组列表 acs:alidns:*:$accountid:group/*
RetrievalDomainName 发起找回域名 acs:alidns:*:$accountid:domain/*
CheckDomainRecord 检测解析记录是否生效 acs:alidns:*:$accountid:domain/*
AddDomainRecord 添加解析记录 acs:alidns:*:$accountid:domain/$domainName
DeleteDomainRecord 删除解析记录 acs:alidns:*:$accountid:domain/$domainName
UpdateDomainRecord 修改解析记录 acs:alidns:*:$accountid:domain/$domainName
SetDomainRecordStatus 设置解析记录状态 acs:alidns:*:$accountid:domain/$domainName
DescribeDomainRecords 获取解析记录列表 acs:alidns:*:$accountid:domain/$domainName
DescribeDomainRecordInfo 获取解析记录信息 acs:alidns:*:$accountid:domain/$domainName
DescribeSubDomainRecords 获取子域名解析记录列表 acs:alidns:*:$accountid:domain/$domainName
DeleteSubDomainRecords 删除主机记录对应的解析记录 acs:alidns:*:$accountid:domain/$domainName
SetDNSSLBStatus 开启/关闭解析权重配置 acs:alidns:*:$accountid:domain/$domainName
DescribeDNSSLBSubDomains 获取解析权重配置的子域名列表 acs:alidns:*:$accountid:domain/$domainName
UpdateDNSSLBWeight 修改解析权重配置权重 acs:alidns:*:$accountid:domain/$domainName
UpdateDomainRemark 修改域名备注 acs:alidns:*:$accountid:domain/$domainName
ValidateDomainCanAdd 校验域名是否可以添加 acs:alidns:*:$accountid:domain/*
ScanSubdomainRecords 扫描指定子域名解析记录 acs:alidns:*:$accountid:domain/*
GetTxtRecordForRetrievalDomainName 生成txt找回记录 acs:alidns:*:$accountid:domain/*
VerifyTxtRecordForRetrievalDomainName 验证txt记录 acs:alidns:*:$accountid:domain/*
ValidateDomainCanBind 校验域名是否可以绑定 acs:alidns:*:$accountid:domain/$domainName
DescribeDnsProductInstance 查询云解析收费版本产品详细信息 acs:alidns:*:$accountid:instance/$instanceid
DescribeDomainNs 获取域名当前的NS服务器列表 acs:alidns:*:$accountid:domain/$domainName
DescribeSupportLines 查询云解析支持的所有线路列表 acs:alidns:*:$accountid:*
UpdateDomainRecordRemark 修改解析备注 acs:alidns:*:$accountid:domain/$domainName
SwitchLineType 切换线路类型 acs:alidns:*:$accountid:domain/$domainName
DescribeDomainDnsStatistics 获取解析量 acs:alidns:*:$accountid:domain/$domainName
DescribeDomainDnsAttackStatistics 攻击流量数据 acs:alidns:*:$accountid:domain/$domainName
DescribeDomainDnsProtectLogs 攻击历史记录 acs:alidns:*:$accountid:domain/$domainName
DescribeGslbInstances 获取Gslb实例列表 acs:alidns:*:$accountid:domain/$domainName
DescribeGslbInstance 获取Gslb实例详情 acs:alidns:*:$accountid:domain/$domainName
OpenGslb 打开全球Gslb acs:alidns:*:$accountid:domain/$domainName
CloseGslb 关闭全球Gslb acs:alidns:*:$accountid:domain/$domainName
DescribeCanAddMonitorDomainRrs 获取可添加监控的主机记录列表 acs:alidns:*:$accountid:domain/$domainName
DescribeCanAddMonitorSubDomainInfo 获取可添加监控的子域名的详细信息 acs:alidns:*:$accountid:domain/$domainName
AddSiteMonitor 添加网站监控 acs:alidns:*:$accountid:domain/$domainName
DescribeSiteMonitors 获取网站监控列表 acs:alidns:*:$accountid:domain/$domainName
DescribeSiteMonitor 获取网站监控详情 acs:alidns:*:$accountid:domain/$domainName
UpdateSiteMonitor 修改网站监控 acs:alidns:*:$accountid:domain/$domainName
SetSiteMonitorsStatus 设置网站监控状态 acs:alidns:*:$accountid:domain/$domainName
DeleteSiteMonitors 删除网站监控 acs:alidns:*:$accountid:domain/$domainName
DescribeSiteMonitorNodeTrends 获取监控节点访问详情 acs:alidns:*:$accountid:domain/$domainName
DescribeSiteMonitorProvinceTrends 获取监控地图省份访问详情 acs:alidns:*:$accountid:domain/$domainName
DescribeSiteMonitorIspPointTrends 获取监控运营商详情(散点) acs:alidns:*:$accountid:domain/$domainName
DescribeSiteMonitorIspTrends 获取监控运营商详情(统计) acs:alidns:*:$accountid:domain/$domainName
DescribeSiteMonitorIspInfos 获取运营商列表 acs:alidns:*:$accountid:*
DescribeSiteMonitorIspCityInfos 获取运营商下的城市列表 acs:alidns:*:$accountid:*
DescribeSiteMonitorAlertLogs 获取网站监控报警日志 acs:alidns:*:$accountid:domain/$domainName
AddSlaveDnsConfig 添加辅助DNS配置 acs:alidns:*:$accountid:domain/$domainName
UpdateSlaveDnsConfig 更新辅助DNS配置 acs:alidns:*:$accountid:domain/$domainName
SetSlaveDnsConfigStatus 开启/关闭辅助DNS配置 acs:alidns:*:$accountid:domain/$domainName
SyncWithMasterDns 手动触发主辅DNS同步 acs:alidns:*:$accountid:domain/$domainName
DescribeSlaveDnsConfig 查询辅助DNS配置 acs:alidns:*:$accountid:domain/$domainName
DescribeSlaveDnsDomains 查询辅助DNS配置列表 acs:alidns:*:$accountid:domain/
DescribeSlaveDnsStatus 查询域名状态 acs:alidns:*:$accountid:domain/$domainName