Untuk menerapkan kontrol akses dengan detail halus dan meningkatkan keamanan akun, Anda dapat menggunakan Resource Access Management (RAM) untuk memberikan izin manajemen pada nama domain kepada pengguna RAM. Pengguna RAM yang berwenang kemudian dapat mengelola nama domain. Topik ini menjelaskan cara mengotorisasi pengguna RAM untuk mengelola nama domain.
Prasyarat
Pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Catatan Penggunaan
RAM adalah layanan kontrol akses sumber daya yang disediakan oleh Alibaba Cloud. Anda dapat menggunakan RAM untuk mengotorisasi pengguna RAM mengelola nama domain. Secara default, baik kebijakan sistem maupun kebijakan kustom didukung. Kebijakan sistem AliyunDomainFullAccess tersedia untuk Nama Domain Alibaba Cloud. Anda dapat membuat kebijakan kustom untuk kontrol akses lebih rinci jika kebijakan sistem tidak memenuhi kebutuhan bisnis Anda.
Topik ini menjelaskan dua kebijakan kustom, yaitu pemberian izin hanya-baca kepada pengguna RAM atas semua nama domain dan izin manajemen atas satu nama domain. Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom lainnya, lihat Buat Kebijakan Kustom.
Berikan izin baca dan tulis kepada pengguna RAM dengan menyambungkan kebijakan sistem
Anda dapat menyambungkan kebijakan sistem AliyunDomainFullAccess kepada pengguna RAM di Konsol RAM untuk mengotorisasi pengguna RAM mengelola nama domain. Kebijakan sistem ini memberikan izin tingkat tertinggi. Pengguna RAM yang berwenang dapat mengelola semua nama domain dalam Akun Alibaba Cloud.
Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud Anda.
Di panel navigasi sisi kiri Konsol RAM, pilih .
Di halaman Users, temukan pengguna RAM yang ingin diberi izin di kolom User Logon Name/Display Name. Klik Add Permissions di kolom Aksi.
Di panel Grant Permission, konfigurasikan parameter yang diperlukan.
Atur parameter Ruang Lingkup Sumber Daya ke Account.
CatatanSistem secara otomatis memasukkan pihak yang berwenang di bidang Principal.
Pilih System Policy.
Masukkan domain di kotak pencarian. Kebijakan sistem terkait nama domain akan ditampilkan di daftar.
Klik AliyunDomainFullAccess untuk menambahkan kebijakan ke bagian Selected Policy.
Klik Grant permissions.
Berikan izin hanya-baca kepada pengguna RAM dengan membuat kebijakan kustom
Anda dapat membuat kebijakan kustom di Konsol RAM untuk memberikan izin hanya-baca kepada pengguna RAM. Pengguna RAM yang berwenang dapat melihat nama domain dalam Akun Alibaba Cloud tetapi tidak dapat mengelola nama domain tersebut.
Di panel navigasi sisi kiri, pilih .
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON.
Masukkan skrip berikut di editor kode. Klik OK.
{ "Version": "1", "Statement": [ { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
Di kotak dialog yang muncul, atur Policy Name dan Description (opsional).
Untuk informasi lebih lanjut, lihat bagian Buat Kebijakan Kustom di Tab JSON dari topik "Buat Kebijakan Kustom".
Klik OK.
Anda dapat menggunakan salah satu metode berikut untuk melihat kebijakan kustom yang telah dibuat:
Metode 1: Di halaman Kebijakan, pilih Custom Policy dari daftar drop-down Policy Type dan temukan kebijakan kustom yang telah dibuat.
Metode 2: Di panel Grant Permission, pilih Custom Policy dari daftar drop-down di bagian Kebijakan dan temukan kebijakan kustom yang telah dibuat.
Otorisasi pengguna RAM untuk mengelola satu nama domain dengan membuat kebijakan kustom
Anda dapat membuat kebijakan kustom di Konsol RAM untuk mengotorisasi pengguna RAM mengelola satu nama domain. Sebagai contoh, Anda dapat mengotorisasi pengguna RAM untuk mengelola nama domain example.com. Ikuti langkah-langkah berikut:
Hanya beberapa operasi pada nama domain yang dapat diberi otorisasi. Untuk informasi lebih lanjut tentang aturan otorisasi setiap operasi, lihat Aturan Autentikasi untuk API Domains.
Setelah Anda menyambungkan kebijakan kustom ke pengguna RAM, pengguna RAM dapat masuk ke Konsol Nama Domain Alibaba Cloud untuk melihat semua nama domain dalam Akun Alibaba Cloud. Namun, pengguna RAM hanya dapat mengelola nama domain yang ditentukan dalam kebijakan kustom.
Di panel navigasi sisi kiri, pilih .
Di halaman Policies, klik Create Policy.
Di halaman Create Policy, klik tab JSON.
Masukkan skrip berikut di editor kode dan ganti
example.comdengan nama domain yang ingin Anda otorisasi pengguna RAM untuk kelola. Lalu, klik OK.{ "Version": "1", "Statement": [ { "Action": [ "domain:DnsModification", "domain:SecuritySetting", "domain:RealNameVerificationOperation", "domain:DnsHostModification", "domain:CreateOrderActivate", "domain:CreateOrderRenew", "domain:CreateOrderRedeem", "domain:CreateOrderTransfer", "domain:DomainTransferInOperation", "domain:DomainTransferOutOperation", "domain:QualificationAuditOperation", "domain:EnsSetting", "domain:DnsSecSetting", "domain:SaveArtExtension", "domain:CreateOrderPendingDelete" ], "Resource": "acs:domain:*:*:domain/example.com", "Effect": "Allow" }, { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
Di kotak dialog yang muncul, atur Policy Name dan Description (opsional).
Untuk informasi lebih lanjut, lihat bagian Buat Kebijakan Kustom di Tab JSON dari topik "Buat Kebijakan Kustom".
Klik OK.
Anda dapat menggunakan salah satu metode berikut untuk melihat kebijakan kustom yang telah dibuat:
Metode 1: Di halaman Kebijakan, pilih Custom Policy dari daftar drop-down Policy Type dan temukan kebijakan kustom yang telah dibuat.
Metode 2: Di panel Grant Permission, pilih Custom Policy dari daftar drop-down di bagian Kebijakan dan temukan kebijakan kustom yang telah dibuat.
Apa yang harus dilakukan selanjutnya
Masuk ke Konsol Nama Domain Alibaba Cloud sebagai pengguna RAM yang berwenang. Untuk informasi lebih lanjut, lihat Masuk ke Konsol Manajemen Alibaba Cloud sebagai Pengguna RAM.