文档

域名自定义权限策略参考

更新时间:

如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍域名使用自定义权限策略的场景和策略示例。

什么是自定义权限策略

在基于RAM的访问控制体系中,自定义权限策略是指在系统权限策略之外,您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。

  • 创建自定义权限策略后,需为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。

  • 已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中移除授权。

  • 自定义权限策略支持版本控制,您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。

操作文档

通过脚本编辑方式新建权限策略:授权RAM用户只读权限

您可以通过RAM控制台创建自定义策略,授权给RAM用户只读权限。该权限允许被授权的RAM用户查看主账号下的域名,但不支持对域名进行管理。具体操作,请参见下文。

  1. 您可以通过以下两种方式进入创建权限策略页面。

    • 方式一:

      1. 在控制台左侧导航栏选择权限管理 > 权限策略

      2. 权限策略页面,单击创建权限策略

    • 方式二:

      1. 在控制台左侧导航栏选择身份管理 > 用户

      2. 用户页面的用户登录名称/显示名称列表中,单击目标RAM用户右侧操作列下的添加权限

      3. 添加权限面板,单击新建权限策略1

  2. 创建权限策略页面,单击脚本编辑页签。

  3. 在脚本编辑文本框中,输入以下自定义策略的脚本,完成后单击继续编辑基本信息

    {
       "Version": "1",
       "Statement": [
         {
           "Action": [
             "domain:Query*"
           ],
           "Resource": "acs:domain:*:*:*",
           "Effect": "Allow"
         }
        ]
    }

    1

  4. 输入权限策略名称备注(可选填)。1

    更多相关配置详情说明,请参见通过脚本编辑模式创建自定义权限策略

  5. 单击确定

    您可以通过以下两种方式查看已创建的自定义策略。

    • 方式一:在权限策略页面,在策略类型下拉列表中选中自定义策略1

    • 方式二:在添加权限面板,单击自定义策略1

通过脚本编辑方式新建权限策略:授权RAM用户管理单个域名的权限

您可以通过RAM控制台创建自定义策略,授权RAM用户管理某个域名的权限。该权限允许被授权的RAM用户管理某一个域名的资源,例如,授权RAM用户管理example.com域名。具体操作,请参见下文。

说明
  • 目前仅支持对以下Action授权,关于各Action的鉴权规则,具体请参见Domain API鉴权规则

  • RAM子账号授权成功后,您可以使用RAM子账号登录阿里云域名控制台并查看主账号下的所有域名,但只能对被授权的域名进行管理操作。

  1. 您可以通过以下两种方式进入创建权限策略页面。

    • 方式一:

      1. 在控制台左侧导航栏选择权限管理 > 权限策略

      2. 权限策略页面,单击创建权限策略

    • 方式二:

      1. 在控制台左侧导航栏选择身份管理 > 用户

      2. 用户页面的用户登录名称/显示名称列表中,单击目标RAM用户右侧操作列下的添加权限

      3. 添加权限面板,单击新建权限策略1

  2. 创建权限策略页面,单击脚本编辑页签。

  3. 在脚本编辑文本框中,输入以下自定义策略的脚本,其中example.com需替换为目标域名,完成后单击继续编辑基本信息

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
          "domain:DnsModification",
          "domain:SecuritySetting",
          "domain:RealNameVerificationOperation",
          "domain:DnsHostModification",
          "domain:CreateOrderActivate",
          "domain:CreateOrderRenew",
          "domain:CreateOrderRedeem",
          "domain:CreateOrderTransfer",
          "domain:DomainTransferInOperation",
          "domain:DomainTransferOutOperation",
          "domain:QualificationAuditOperation",
          "domain:EnsSetting",
          "domain:DnsSecSetting",
          "domain:SaveArtExtension",
          "domain:CreateOrderPendingDelete"
          ],
          "Resource": "acs:domain:*:*:domain/example.com",
          "Effect": "Allow"
        },
        {
          "Action": [
          "domain:Query*"
          ],
          "Resource": "acs:domain:*:*:*",
          "Effect": "Allow"
        }
      ]
    }

    1

  4. 输入权限策略名称备注(可选填)。1

    更多相关配置详情说明,请参见通过脚本编辑模式创建自定义权限策略

  5. 单击确定

    您可以通过以下两种方式查看已创建的自定义策略。

    • 方式一:在权限策略页面,在策略类型下拉列表中选中自定义策略

    • 方式二:在添加权限面板,单击自定义策略