Otorisasi RAM user dengan izin nama domain yang fine-grained - Nama Domain

Untuk menerapkan kontrol akses detail halus dan meningkatkan keamanan akun, Anda dapat menggunakan Resource Access Management (RAM) untuk memberikan izin pengelolaan nama domain kepada pengguna RAM. Setelah diotorisasi, pengguna RAM tersebut dapat mengelola nama domain. Topik ini menjelaskan cara mengotorisasi pengguna RAM untuk mengelola nama domain.

Prasyarat

Pengguna RAM telah dibuat. Untuk informasi selengkapnya, lihat Create a RAM user.

Informasi latar belakang

RAM adalah layanan kontrol akses resource yang disediakan oleh Alibaba Cloud. Anda dapat menggunakan RAM untuk mengotorisasi pengguna RAM agar mengelola nama domain. Secara default, RAM mendukung kebijakan sistem dan kebijakan kustom. Satu-satunya kebijakan sistem untuk Domain Names adalah AliyunDomainFullAccess, yang memberikan izin pengelolaan nama domain penuh. Jika kebijakan sistem tidak memenuhi kebutuhan Anda, buat kebijakan kustom untuk kontrol izin detail halus.

Catatan

Topik ini menjelaskan dua kebijakan kustom, yang digunakan untuk memberikan izin read-only kepada pengguna RAM atas semua nama domain dan izin pengelolaan atas satu nama domain. Untuk informasi selengkapnya tentang cara membuat kebijakan kustom lainnya, lihat Create custom policies.

Berikan izin baca dan tulis kepada pengguna RAM dengan menyambungkan kebijakan sistem

Di Konsol RAM, sambungkan kebijakan sistem AliyunDomainFullAccess ke pengguna RAM untuk mengotorisasi pengelolaan nama domain. Kebijakan ini memberikan izin tingkat tertinggi. Pengguna RAM yang diotorisasi dapat mengelola semua nama domain dalam Akun Alibaba Cloud.

Login ke RAM console menggunakan Akun Alibaba Cloud Anda.
Di panel navigasi kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM di kolom User Login Name. Klik Attach Policy di kolom Actions.

Di panel Attach Policy, konfigurasikan pengaturan otorisasi.

Atur Resource Scope ke Account.
Catatan
Sistem secara otomatis mengisi bidang Principal.
Pilih System Policy.
Masukkan domain di kotak pencarian. Kebijakan sistem terkait nama domain akan ditampilkan dalam daftar.
Pilih AliyunDomainFullAccess.
Klik OK.

Berikan izin read-only kepada pengguna RAM dengan membuat kebijakan kustom

Anda dapat membuat kebijakan kustom di Konsol RAM untuk memberikan izin read-only kepada pengguna RAM. Pengguna RAM yang diotorisasi dapat melihat nama domain dalam Akun Alibaba Cloud tetapi tidak dapat mengelola nama domain tersebut.

Di panel navigasi kiri, pilih Permissions > Policies.
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON Editor.

Di editor kode, masukkan skrip kebijakan kustom berikut. Klik OK.

{
   "Version": "1",
   "Statement": [
     {
       "Action": [
         "domain:Query*"
       ],
       "Resource": "acs:domain:*:*:*",
       "Effect": "Allow"
     }
    ]
}

Di kotak dialog, atur Policy Type dan Description (opsional).
Untuk informasi selengkapnya tentang konfigurasi terkait, lihat Create Custom Policies by Using Script Edit Mode.
Klik OK.
Anda dapat menggunakan salah satu metode berikut untuk melihat kebijakan kustom yang telah dibuat:
- Metode 1: Di halaman Policies, pilih Policy Type dari daftar drop-down dan pilih Custom Policy.
- Metode 2: Di panel Attach Policy, pilih Custom Policy dari daftar drop-down Policy.

Otorisasi pengguna RAM untuk mengelola satu nama domain dengan membuat kebijakan kustom

Buat kebijakan kustom di Konsol RAM untuk mengotorisasi pengguna RAM agar mengelola satu nama domain. Misalnya, otorisasi pengguna RAM untuk mengelola nama domain example.com. Ikuti langkah-langkah berikut.

Catatan

Hanya beberapa operasi pada nama domain yang dapat diotorisasi. Untuk informasi selengkapnya tentang aturan otorisasi setiap operasi, lihat Authentication rules for the Domains API.
Setelah Anda menyambungkan kebijakan kustom ke pengguna RAM, pengguna RAM tersebut dapat login ke Alibaba Cloud Domain Names console untuk melihat semua nama domain dalam Akun Alibaba Cloud. Namun, pengguna RAM hanya dapat mengelola nama domain yang ditentukan dalam kebijakan kustom.

Di panel navigasi kiri, pilih Permissions > Policies.
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON Editor.

Di editor kode, masukkan skrip kebijakan kustom berikut. Ganti example.com dengan nama domain target Anda. Klik OK.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
      "domain:DnsModification",
      "domain:SecuritySetting",
      "domain:RealNameVerificationOperation",
      "domain:DnsHostModification",
      "domain:CreateOrderActivate",
      "domain:CreateOrderRenew",
      "domain:CreateOrderRedeem",
      "domain:CreateOrderTransfer",
      "domain:DomainTransferInOperation",
      "domain:DomainTransferOutOperation",
      "domain:QualificationAuditOperation",
      "domain:EnsSetting",
      "domain:DnsSecSetting",
      "domain:SaveArtExtension",
      "domain:CreateOrderPendingDelete"
      ],
      "Resource": "acs:domain:*:*:domain/example.com",
      "Effect": "Allow"
    },
    {
      "Action": [
      "domain:Query*"
      ],
      "Resource": "acs:domain:*:*:*",
      "Effect": "Allow"
    }
  ]
}

Di kotak dialog, atur Policy Type dan Description (opsional).
Untuk informasi selengkapnya tentang konfigurasi terkait, lihat Create Custom Policies by Using Script Edit Mode.
Klik OK.
Anda dapat menggunakan salah satu metode berikut untuk melihat kebijakan kustom yang telah dibuat:
- Metode 1: Di halaman Policies, pilih Policy Type dari daftar drop-down dan pilih Custom Policy.
- Metode 2: Di panel Attach Policy, pilih Custom Policy dari daftar drop-down Policy.

Langkah selanjutnya

Login ke Konsol Domain Names Alibaba Cloud sebagai pengguna RAM yang diotorisasi. Untuk informasi selengkapnya, lihat Log on to the Alibaba Cloud Management Console as a RAM user.