詳細なアクセスコントロールを実装し、アカウントのセキュリティを向上させるために、Resource Access Management (RAM) を使用して、ドメイン名に対する管理権限を RAM ユーザーに付与できます。その後、承認された RAM ユーザーはドメイン名を管理できます。このトピックでは、RAM ユーザーにドメイン名の管理を承認する方法について説明します。
前提条件
RAM ユーザーが作成されていること。詳細については、「RAM ユーザーを作成する」をご参照ください。
使用上の注意
RAM は、Alibaba Cloud によって提供されるリソースアクセスコントロールサービスです。 RAM を使用して、RAM ユーザーにドメイン名の管理を承認できます。デフォルトでは、システムポリシーとカスタムポリシーがサポートされています。 [AliyunDomainFullAccess] システムポリシーは、Alibaba Cloud ドメイン名に提供されます。システムポリシーがビジネス要件を満たせない場合は、カスタムポリシーを作成して、より詳細なアクセスコントロールを実行できます。
このトピックでは、2 つのカスタムポリシーについて説明します。これらは、RAM ユーザーにすべてのドメイン名に対する読み取り専用権限と、単一のドメイン名に対する管理権限を付与するために使用されます。他のカスタムポリシーの作成方法の詳細については、「カスタムポリシーを作成する」をご参照ください。
システムポリシーをアタッチすることで、RAM ユーザーに読み取りおよび書き込み権限を付与する
RAM コンソールで [AliyunDomainFullAccess] システムポリシーを RAM ユーザーにアタッチして、RAM ユーザーにドメイン名の管理を承認できます。このシステムポリシーは、最高レベルの権限を付与します。承認された RAM ユーザーは、Alibaba Cloud アカウント内のすべてのドメイン名を管理できます。
Alibaba Cloud アカウントを使用して、RAM コンソールにログインします。
RAM コンソールの左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーログイン名/表示名] 列で権限を付与する RAM ユーザーを見つけます。 [操作] 列の [権限の追加] をクリックします。
[権限の付与] パネルで、パラメーターを設定します。
リソーススコープパラメーターを [アカウント] に設定します。
説明システムは、[プリンシパル] フィールドに承認されたプリンシパルを自動的に入力します。
[システムポリシー] を選択します。
検索ボックスに domain と入力します。ドメイン名に関連するシステムポリシーがリストに表示されます。
[AliyunDomainFullAccess] をクリックして、ポリシーを [選択済みポリシー] セクションに追加します。
[権限の付与] をクリックします。
カスタムポリシーを作成して RAM ユーザーに読み取り専用権限を付与する
RAM コンソールでカスタムポリシーを作成して、RAM ユーザーに読み取り専用権限を付与できます。承認された RAM ユーザーは、Alibaba Cloud アカウント内のドメイン名を表示できますが、これらのドメイン名を管理することはできません。
左側のナビゲーションウィンドウで、 を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックします。
コードエディターに次のスクリプトを入力します。 [OK] をクリックします。
{ "Version": "1", "Statement": [ { "Action": [ "domain:Query*" // ドメイン照会操作 ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
表示されるダイアログボックスで、[ポリシー名] と [説明] (オプション) を設定します。
詳細については、「カスタムポリシーの作成」トピックの「JSON タブでカスタムポリシーを作成する」セクションをご参照ください。
[OK] をクリックします。
次のいずれかの方法を使用して、作成されたカスタムポリシーを表示できます。
方法 1: [ポリシー] ページで、[ポリシータイプ] ドロップダウンリストから [カスタムポリシー] を選択し、作成されたカスタムポリシーを見つけます。
方法 2: [権限の付与] パネルで、[ポリシー] セクションのドロップダウンリストから [カスタムポリシー] を選択し、作成されたカスタムポリシーを見つけます。
カスタムポリシーを作成して、RAM ユーザーに単一のドメイン名を管理する権限を付与する
RAM コンソールでカスタムポリシーを作成して、RAM ユーザーに単一のドメイン名を管理する権限を付与できます。たとえば、RAM ユーザーに example.com ドメイン名を管理する権限を付与できます。次の手順を実行します。
ドメイン名に対する操作の一部のみを承認できます。各操作の承認ルールの詳細については、「ドメイン API の認証ルール」をご参照ください。
カスタムポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは Alibaba Cloud ドメイン名コンソールにログインして、Alibaba Cloud アカウント内のすべてのドメイン名を表示できます。ただし、RAM ユーザーは、カスタムポリシーで指定されたドメイン名のみを管理できます。
左側のナビゲーションウィンドウで、 を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックします。
コードエディターに次のスクリプトを入力し、
example.comを、RAM ユーザーに管理を承認するドメイン名に置き換えます。次に、[OK] をクリックします。{ "Version": "1", "Statement": [ { "Action": [ "domain:DnsModification", // DNS 変更操作 "domain:SecuritySetting", // セキュリティ設定操作 "domain:RealNameVerificationOperation", // 実名認証操作 "domain:DnsHostModification", // DNS ホスト変更操作 "domain:CreateOrderActivate", // ドメイン有効化注文作成操作 "domain:CreateOrderRenew", // ドメイン更新注文作成操作 "domain:CreateOrderRedeem", // ドメイン償還注文作成操作 "domain:CreateOrderTransfer", // ドメイン移管注文作成操作 "domain:DomainTransferInOperation", // ドメイン転入操作 "domain:DomainTransferOutOperation", // ドメイン転出操作 "domain:QualificationAuditOperation", // 資格審査操作 "domain:EnsSetting", // ENS 設定操作 "domain:DnsSecSetting", // DNSSEC 設定操作 "domain:SaveArtExtension", // ART 拡張保存操作 "domain:CreateOrderPendingDelete" // ドメイン削除保留注文作成操作 ], "Resource": "acs:domain:*:*:domain/example.com", "Effect": "Allow" }, { "Action": [ "domain:Query*" // ドメイン照会操作 ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
表示されるダイアログボックスで、[ポリシー名] と [説明] (オプション) を設定します。
詳細については、「カスタムポリシーの作成」トピックの「JSON タブでカスタムポリシーを作成する」セクションをご参照ください。
[OK] をクリックします。
次のいずれかの方法を使用して、作成されたカスタムポリシーを表示できます。
方法 1: [ポリシー] ページで、[ポリシータイプ] ドロップダウンリストから [カスタムポリシー] を選択し、作成されたカスタムポリシーを見つけます。
方法 2: [権限の付与] パネルで、[ポリシー] セクションのドロップダウンリストから [カスタムポリシー] を選択し、作成されたカスタムポリシーを見つけます。
次のステップ
承認された RAM ユーザーとして Alibaba Cloud ドメイン名コンソールにログインします。詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする」をご参照ください。