为细分账号权限,提升账号安全性,您可以通过访问控制RAM(Resource Access Management)将域名的管理权限授权给RAM用户,使被授权的RAM用户可以管理域名。本文为您介绍如何授权RAM用户管理域名。
前提条件
已成功创建RAM用户,请参见创建RAM用户。
背景信息
访问控制RAM是阿里云提供的资源访问控制服务,您可以通过RAM授权RAM用户管理域名。默认支持系统策略和自定义策略两种,域名的系统策略目前仅支持AliyunDomainFullAccess,即管理域名的权限策略。如果系统策略无法满足您的需求,您可以创建自定义策略实现精细化权限管理。
通过选择系统策略授权RAM用户读写权限
您可以通过RAM控制台,添加AliyunDomainFullAccess系统策略给对应的RAM用户,授权RAM用户管理域名。该权限允许被授权的RAM用户管理主账号下的所有域名资源,属于最大权限。
通过脚本编辑方式新建权限策略:授权RAM用户只读权限
您可以通过RAM控制台创建自定义策略,授权给RAM用户只读权限。该权限允许被授权的RAM用户查看主账号下的域名,但不支持对域名进行管理。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
在脚本编辑文本框中,输入以下自定义策略的脚本,完成后单击继续编辑基本信息。
{ "Version": "1", "Statement": [ { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
输入权限策略名称和备注(可选填)。
更多相关配置详情说明,请参见通过脚本编辑模式创建自定义权限策略。
单击确定。
您可以通过以下两种方式查看已创建的自定义策略。
方式一:在权限策略页面,在策略类型下拉列表中选中自定义策略。
方式二:在新增授权面板,选择自定义策略。
通过脚本编辑方式新建权限策略:授权RAM用户管理单个域名的权限
您可以通过RAM控制台创建自定义策略,授权RAM用户管理某个域名的权限。该权限允许被授权的RAM用户管理某一个域名的资源,例如,授权RAM用户管理example.com域名。具体操作,请参见下文。
目前仅支持对以下Action授权,关于各Action的鉴权规则,具体请参见Domain API鉴权规则。
RAM子账号授权成功后,您可以使用RAM子账号登录阿里云域名控制台并查看主账号下的所有域名,但只能对被授权的域名进行管理操作。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
在脚本编辑文本框中,输入以下自定义策略的脚本,其中
example.com需替换为目标域名,完成后单击继续编辑基本信息。{ "Version": "1", "Statement": [ { "Action": [ "domain:DnsModification", "domain:SecuritySetting", "domain:RealNameVerificationOperation", "domain:DnsHostModification", "domain:CreateOrderActivate", "domain:CreateOrderRenew", "domain:CreateOrderRedeem", "domain:CreateOrderTransfer", "domain:DomainTransferInOperation", "domain:DomainTransferOutOperation", "domain:QualificationAuditOperation", "domain:EnsSetting", "domain:DnsSecSetting", "domain:SaveArtExtension", "domain:CreateOrderPendingDelete" ], "Resource": "acs:domain:*:*:domain/example.com", "Effect": "Allow" }, { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
输入权限策略名称和备注(可选填)。
更多相关配置详情说明,请参见通过脚本编辑模式创建自定义权限策略。
单击确定。
您可以通过以下两种方式查看已创建的自定义策略。
方式一:在权限策略页面,在策略类型下拉列表中选中自定义策略。
方式二:在添加权限面板,单击自定义策略。
后续步骤
使用被授权的RAM用户的账号登录控制台,请参见RAM用户登录阿里云控制台。