Jika kebijakan sistem tidak memenuhi kebutuhan Anda, Anda dapat membuat kebijakan kustom untuk menerapkan prinsip hak istimewa minimal. Kebijakan kustom menyediakan kontrol izin detail halus dan merupakan cara efektif untuk meningkatkan keamanan akses sumber daya. Topik ini menjelaskan berbagai skenario dan memberikan contoh kebijakan untuk menggunakan kebijakan kustom dengan Alibaba Cloud DNS.
Apa itu kebijakan kustom?
Dalam Resource Access Management (RAM), kebijakan kustom adalah kebijakan yang dapat Anda buat, perbarui, dan hapus selain kebijakan sistem. Anda bertanggung jawab atas pemeliharaan versi kebijakan kustom Anda.
Setelah membuat kebijakan kustom, Anda dapat menyambungkannya ke Pengguna Resource Access Management (RAM), kelompok pengguna, atau Peran RAM. Identitas RAM tersebut kemudian memperoleh izin akses yang ditentukan dalam kebijakan tersebut.
Anda dapat menghapus kebijakan kustom. Sebelum menghapusnya, pastikan kebijakan tersebut tidak sedang dirujuk. Jika kebijakan tersebut sedang dirujuk, Anda harus mencabut izin dalam catatan referensinya.
Kebijakan kustom mendukung pengendalian versi. Anda dapat mengelola versi kebijakan kustom menggunakan fitur pengendalian versi RAM.
Dokumen operasi
Skema umum dan contoh kebijakan kustom
Contoh 1: Kelola izin untuk resolusi DNS otoritatif suatu nama domain
Berikan izin kepada Pengguna RAM untuk melihat dan mengedit nama domain serta mengelola Rekaman DNS pada halaman Authoritative Zone di Konsol Alibaba Cloud DNS.
{
"Version": "1",
"Statement": [
{
"Action": "alidns:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"alidns.aliyuncs.com",
"gtm.aliyuncs.com"
]
}
}
}
]
}Contoh 2: Berikan izin read-only untuk resolusi DNS otoritatif suatu nama domain
Berikan izin read-only kepada Pengguna RAM untuk melihat nama domain dan Rekaman DNS pada halaman Authoritative Zone di Konsol Alibaba Cloud DNS. Pengguna tersebut tidak dapat mengedit atau memodifikasinya.
{
"Version": "1",
"Statement": [
{
"Action": [
"alidns:Describe*",
"alidns:Get*",
"alidns:List*",
"alidns:Query*",
"alidns:Check*",
"alidns:Search*",
"alidns:ValidateDomainCanAdd"
],
"Resource": "*",
"Effect": "Allow"
}
]
}Contoh 3: Berikan izin kepada Pengguna RAM untuk mengelola Rekaman DNS suatu nama domain
Pada bidang
Action, tentukan operasi yang dapat dilakukan oleh Pengguna RAM, seperti menambah, memodifikasi, dan menghapus Rekaman DNS.Pada bidang
Resource, tentukan nama domain yang dapat dikelola. Hal ini membatasi operasi yang diizinkan hanya pada sumber daya yang ditentukan.Sambungkan kebijakan tersebut ke Pengguna RAM yang ditentukan.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"alidns:AddDomainRecord",
"alidns:DeleteDomainRecord",
"alidns:DeleteSubDomainRecords",
"alidns:UpdateDomainRecord",
"alidns:UpdateDomainRecordsTTL"
],
"Resource": [
"acs:alidns:*:1413397765616316:domain/your-domainname"
]
}
]
}Catatan: Izin hanya dapat diberikan pada tingkat granularitas nama domain. Jika Anda ingin Pengguna RAM mengelola Rekaman DNS untuk subdomain tertentu, seperti demo.example.com, bukan untuk seluruh domain example.com, Anda harus menambahkan demo.example.com sebagai subdomain independen. Untuk informasi lebih lanjut, lihat Manajemen subdomain. Setelah itu, Anda dapat memberikan izin menggunakan metode yang dijelaskan di atas.
Referensi otorisasi
Untuk menggunakan kebijakan kustom, Anda harus memahami kebutuhan kontrol izin Anda dan informasi otorisasi untuk Alibaba Cloud DNS. Untuk informasi lebih lanjut, lihat Informasi otorisasi.