すべてのプロダクト
Search

このプロダクト

    Alibaba Cloud DNS:Alibaba Cloud DNS のカスタムポリシーのリファレンス

    ドキュメントセンター

    Alibaba Cloud DNS:Alibaba Cloud DNS のカスタムポリシーのリファレンス

    最終更新日:Apr 24, 2026

    システムポリシーが要件を満たさない場合は、カスタムポリシーを作成して最小権限を実現できます。カスタムポリシーは詳細な権限コントロールを提供し、リソースのアクセスセキュリティを向上させる効果的な方法です。このトピックでは、Alibaba Cloud DNS でカスタムポリシーを使用するシナリオとポリシーの例について説明します。

    カスタムポリシーとは

    Resource Access Management (RAM) において、カスタムポリシーとは、システムポリシーに加えて作成、更新、削除できるポリシーのことです。お客様は、ご自身のカスタムポリシーのバージョンメンテナンスに責任を負います。

    • カスタムポリシーを作成した後、それを RAM ユーザー、ユーザーグループ、または RAM ロールにアタッチできます。これにより、その RAM ID はポリシーで指定されたアクセス権限を取得します。

    • カスタムポリシーは削除できます。ポリシーを削除する前に、それが参照されていないことを確認してください。ポリシーが参照されている場合は、その参照レコードの権限を取り消す必要があります。

    • カスタムポリシーはバージョン管理をサポートしています。RAM のバージョン管理機能を使用して、カスタムポリシーのバージョンを管理できます。

    操作ドキュメント

    カスタムポリシーの一般的なシナリオと例

    例 1:ドメイン名の権威 DNS 解決の権限管理

    Alibaba Cloud DNS コンソールの権威ゾーンページで、ドメイン名の表示と編集、および DNS レコードの管理を行う権限を RAM ユーザーに付与します。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": "alidns:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "alidns.aliyuncs.com",
                        "gtm.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

    例 2:ドメイン名の権威 DNS 解決の読み取り専用権限の付与

    Alibaba Cloud DNS コンソールの権威ゾーンページで、ドメイン名と DNS レコードを表示する読み取り専用権限を RAM ユーザーに付与します。ユーザーはそれらを編集または変更することはできません。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "alidns:Describe*",
                "alidns:Get*",
                "alidns:List*",
                "alidns:Query*",
                "alidns:Check*",
                "alidns:Search*",
                "alidns:ValidateDomainCanAdd"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    例 3:RAM ユーザーにドメイン名の DNS レコードを管理する権限を付与

    1. Action フィールドで、DNS レコードの追加、変更、削除など、RAM ユーザーが実行できる操作を指定します。

    2. Resource フィールドで、管理できるドメイン名を指定します。これにより、許可された操作が指定されたリソースに制限されます。

    3. 指定した RAM ユーザーにポリシーをアタッチします。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "alidns:AddDomainRecord",
        "alidns:DeleteDomainRecord",
        "alidns:DeleteSubDomainRecords",
        "alidns:UpdateDomainRecord",
        "alidns:UpdateDomainRecordsTTL",
        "alidns:CreateAlidnsLineRecordSet"
      ],
      "Resource": [
        "acs:alidns:*:1413397765616316:domain/your-domainname"
      ]
    }
  ]
}

    注:権限は、ドメイン名の粒度でのみ付与できます。RAM ユーザーが example.com ドメイン全体ではなく、demo.example.com などの特定のサブドメインの DNS レコードを管理できるようにする場合は、demo.example.com を独立したサブドメインとして追加する必要があります。詳細については、「サブドメインの管理」をご参照ください。その後、上記の方法で権限を付与できます。

    権限付与リファレンス

    カスタムポリシーを使用するには、権限コントロールの要件と Alibaba Cloud DNS の権限付与情報を理解する必要があります。詳細については、「権限付与情報」をご参照ください。