全部产品
阿里云办公

跨账号管理域名和DNS

更新时间:2018-08-24 15:00:24

背景介绍

在现代企业日常运营管理中,域名的管理关系到企业的品牌建设、信息化正常运转、域名属于现代化企业必不可少的核心数字资产。因此企业的域名通常具备两个领域的属性:

  1. 企业品牌形象方面的数字资产属性;
  2. 信息化系统方面的IT管理属性;

在成熟的企业内部,这两个领域分别对应不同的部门,一般来说企业的品牌形象会由法务、市场等相关部门负责。而信息化可能会由研发、运维等技术部门负责。

不同的分工,造成域名的日常管理带来了很多痛点。一方面,法务、品牌负责同学需要统一管理企业的域名、商标等数字资产,负责域名的注册、备案、续费等流程,有独立的账号A。另一方面,技术部门同学需要将域名应用到网站、邮箱、CDN、CRM等信息化系统服务的DNS日常管理配置中,有独立的账号B。

原则上,DNS配置属于域名日常管理的一部分,无法与域名单独区别开来单独管理。所以,技术同学每次涉及到DNS配置变更,就需要麻烦法务或品牌同学协助配置,而法务或品牌同学不理解技术场景,无法独立完成技术场景的配置工作,经常出现和技术同学反复沟通确认的情况,同时增加了误操作的风险。

阿里云在解决跨账号、子账号管理方面提供了RAM (Resource Access Management) 服务。以下将会介绍,RAM在DNS管理方面的实践,帮助企业客户解决域名和DNS跨账号管理方面的痛点。


资源准备

在进行域名和DNS跨账号管理前,我们准备相关好资源。

  1. 两个阿里云账号:账号A、账号B,并且开通阿里云RAM服务;
  2. 域名:域名放在账号A下;
  3. 学习RAM的相关知识:https://help.aliyun.com/document_detail/28672.html?
  4. 学习RAM的跨账号管理知识:https://help.aliyun.com/document_detail/28658.html?


方式一:子账号管理

预期目标:在账号A下建立子帐号A1,A1具备管理账号A下域名的权限;

  • 步骤一:在账号A下创建子账号;

    • 账号A登陆云控制台,进入RAM服务控制面板RAM控制台

    • 用户管理中,创建子账号A1,并取名为"dns-admin"dns-admin

    • 在子账号A1"dns-admin"中,为子账号A1设置启用控制台登陆子账号A1密码

  • 步骤二:为子帐号A1授权DNS管理员权限;
    • 为子账号A1"dns-admin"授权“云解析DNS管理权限”dnsfullaccess
  • 步骤三:使用子账号A1进行登陆;

    • 使用子账号A1登陆云控制台;A1登陆
  • 步骤四:使用子账号A1进行DNS配置;


方式二:跨账号管理

预期目标:在账号B下建立子帐号B1,B1通过切换身份的方式,具备管理账号A下域名的权限;

  • 步骤一:在账号A下为账号B创建用户角色dns-admin;

    • 账号A登陆云控制台,进入RAM服务控制面板RAM服务面板

    • 角色管理中,创建用户角色,授信云账号ID中,填写B账号ID;关联云id

    • 并将用户角色命名为“dns-role”dns-role
  • 步骤二:在账号A下为用户角色dns-admin授权DNS管理权限;
    • 为用户角色“dns-role”授权“云解析DNS管理权限”dnsfullaccess dns-role
  • 步骤三:在账号B下创建子账号B1;

    • 账号B登陆云控制台,进入RAM服务控制面板

    • 在用户管理中,创建子账号B1,并取名为"dns-account"dns-account

    • 在子账号B1"dns-account"中,为子账号B1设置启用控制台登陆子账号A1密码

  • 步骤四:在账号B下为子账号B1分配STS跨账号管理权限;
    • 为子账号B1“dns-account”授权“STS服务权限”sts
  • 步骤五:使用子账号B1登陆控制台;

    • 使用子账号B1“dns-account”登陆云控制台;dns-account 登陆
  • 步骤六:使用子账号B1切换身份为dns-admin,管理账号A下的域名DNS配置;

    • 子账号B1切换身份为账号A1的用户角色“dns-role”切换身份alidns-dns-role

    • 进入云解析面板,管理DNS配置;


总结

本文针对企业在实际管理中,遇到需要将域名和DNS通过不同账号管理的问题,介绍了如何阿里云的RAM服务,实现域名和DNS配置分开管理。解决了域名和DNS配置的权限划分,使得法务或品牌管理同学只用考虑域名的注册、续费、备案等工作,同时授权技术人员只拥有DNS配置管理权限,没有域名的注册、续费、备案等权限。