すべてのプロダクト
Search

このプロダクト

    :Alibaba Cloud DNS カスタムポリシーのリファレンス

    ドキュメントセンター

    :Alibaba Cloud DNS カスタムポリシーのリファレンス

    最終更新日:Nov 09, 2025

    システムポリシーが要件を満たさない場合は、カスタムポリシーを作成して最小権限を実現できます。カスタムポリシーは、詳細な権限コントロールを提供し、リソースアクセスのセキュリティを向上させる効果的な方法です。このトピックでは、Alibaba Cloud DNS でカスタムポリシーを使用するためのシナリオとポリシーの例について説明します。

    カスタムポリシーとは

    Resource Access Management (RAM) では、カスタムポリシーは、システムポリシーに加えて作成、更新、削除できるポリシーです。カスタムポリシーのバージョンメンテナンスはお客様の責任となります。

    • カスタムポリシーを作成した後、Resource Access Management (RAM) ユーザー、ユーザーグループ、または RAM ロールにアタッチできます。その後、RAM ID はポリシーで指定されたアクセス権限を取得します。

    • カスタムポリシーは削除できます。ポリシーを削除する前に、それが参照されていないことを確認してください。ポリシーが参照されている場合は、その参照レコードの権限を取り消す必要があります。

    • カスタムポリシーはバージョン管理をサポートしています。RAM のバージョン管理機能を使用して、カスタムポリシーのバージョンを管理できます。

    操作ドキュメント

    カスタムポリシーの一般的なシナリオと例

    例 1: ドメイン名の権威 DNS 解決の権限を管理する

    RAM ユーザーに、Alibaba Cloud DNS コンソールの [Authoritative Zone] ページでドメイン名を表示および編集し、DNS レコードを管理する権限を付与します。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": "alidns:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "alidns.aliyuncs.com",
                        "gtm.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

    例 2: ドメイン名の権威 DNS 解決に対する読み取り専用権限を付与する

    RAM ユーザーに、Alibaba Cloud DNS コンソールの [Authoritative Zone] ページでドメイン名と DNS レコードを表示するための読み取り専用権限を付与します。ユーザーはそれらを編集または変更することはできません。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "alidns:Describe*",
                "alidns:Get*",
                "alidns:List*",
                "alidns:Query*",
                "alidns:Check*",
                "alidns:Search*",
                "alidns:ValidateDomainCanAdd"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    例 3: RAM ユーザーにドメイン名の DNS レコードを管理する権限を付与する

    1. Action フィールドで、DNS レコードの追加、変更、削除など、RAM ユーザーが実行できる操作を指定します。

    2. Resource フィールドで、管理できるドメイン名を指定します。これにより、許可される操作が指定されたリソースに制限されます。

    3. 指定された RAM ユーザーにポリシーをアタッチします。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "alidns:AddDomainRecord",
        "alidns:DeleteDomainRecord",
        "alidns:DeleteSubDomainRecords",
        "alidns:UpdateDomainRecord",
        "alidns:UpdateDomainRecordsTTL"
      ],
      "Resource": [
        "acs:alidns:*:1413397765616316:domain/your-domainname"
      ]
    }
  ]
}

    注: 権限はドメイン名の粒度でのみ付与できます。RAM ユーザーが example.com ドメイン全体ではなく、demo.example.com などの特定のサブドメインの DNS レコードを管理するようにしたい場合は、demo.example.com を独立したサブドメインとして追加する必要があります。詳細については、「サブドメイン管理」をご参照ください。その後、上記の方法を使用して権限を付与できます。

    権限付与リファレンス

    カスタムポリシーを使用するには、権限コントロールの要件と Alibaba Cloud DNS の権限付与情報を理解する必要があります。詳細については、「権限付与情報」をご参照ください。