为细分账号权限,提升账号安全性,您可以通过访问控制RAM(Resource Access Management)将域名的管理权限授权给RAM用户,使被授权的RAM用户可以管理域名。本文为您介绍如何授权RAM用户管理域名。
前提条件
背景信息
授权RAM用户读写权限
您可以通过RAM,添加AliyunDomainFullAccess系统策略给对应的RAM用户,授权RAM用户管理域名。该权限允许被授权的RAM用户管理主账号下的所有域名资源,属于最大权限。
- 单击添加权限,被授权主体会自动填入。
- 在添加权限对话框中,配置授权信息。
- 授权范围选择云账号全部资源。
- 选择权限为系统策略。
- 在搜索框中输入domain,会展现域名相关的系统策略。
- 单击AliyunDomainFullAccess,添加至已选择区域框中。
授权RAM用户只读权限
您可以通过RAM创建自定义策略,授权给RAM用户只读权限。该权限允许被授权的RAM用户查看主账号下的域名,但不支持对域名进行管理。自定义策略的脚本如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"domain:Query*"
],
"Resource": "acs:domain:*:*:*",
"Effect": "Allow"
}
]
}授权RAM用户管理单个域名的权限
您可以通过RAM创建自定义策略,授权RAM用户管理某个域名的权限。该权限允许被授权的RAM用户管理某一个域名的资源,例如,授权RAM用户管理“example.com”域名。自定义策略的脚本如下:
说明
- 目前仅支持对以下Action授权,关于各Action的鉴权规则,具体请参见Domain API鉴权规则。
- RAM子账号授权成功后,您可以使用RAM子账号登录阿里云域名控制台并查看主账号下的所有域名,但只能对被授权的域名进行管理操作。
{
"Version": "1",
"Statement": [
{
"Action": [
"domain:DnsModification",
"domain:SecuritySetting",
"domain:RealNameVerificationOperation",
"domain:DnsHostModification",
"domain:CreateOrderActivate",
"domain:CreateOrderRenew",
"domain:CreateOrderRedeem",
"domain:CreateOrderTransfer",
"domain:DomainTransferInOperation",
"domain:DomainTransferOutOperation",
"domain:QualificationAuditOperation",
"domain:EnsSetting",
"domain:DnsSecSetting",
"domain:SaveArtExtension",
"domain:CreateOrderPendingDelete"
],
"Resource": "acs:domain:*:*:domain/example.com",
"Effect": "Allow"
},
{
"Action":
"domain:Query*",
"Resource": "acs:domain:*:*:*",
"Effect": "Allow"
}
]
}
在文档使用中是否遇到以下问题
更多建议
匿名提交