きめ細かなアクセス制御とアカウントのセキュリティ向上のため、Resource Access Management (RAM) を使用して、RAM ユーザーにドメイン名を管理する権限を付与できます。権限を付与された RAM ユーザーは、指定されたドメイン名を管理できます。このトピックでは、RAM ユーザーにドメイン名を管理する権限を付与する方法について説明します。
前提条件
既存の RAM ユーザーがいること。詳細については、「RAM ユーザーの作成」をご参照ください。
背景情報
Resource Access Management (RAM) は、リソースのアクセス制御を行うための Alibaba Cloud サービスです。RAM を使用して、RAM ユーザーにドメイン名を管理する権限を付与できます。RAM は、システムポリシーとカスタムポリシーの両方をサポートしています。ドメイン名で利用可能なシステムポリシーは、完全な管理権限を付与する AliyunDomainFullAccess のみです。このシステムポリシーの権限が広すぎる場合は、カスタムポリシーを作成して、よりきめ細かなアクセス制御を行うことができます。
このトピックでは、読み取り専用権限を付与するポリシーと、特定のドメイン名を管理するポリシーという 2 種類のカスタムポリシーの作成方法を説明します。他の種類のカスタムポリシーを作成する方法については、「カスタムポリシーの作成」をご参照ください。
システムポリシーのアタッチによるフルアクセスの付与
RAM コンソールで、システムポリシー AliyunDomainFullAccess を RAM ユーザーにアタッチできます。このポリシーは、ご利用の Alibaba Cloud アカウントに属するすべてのドメイン名リソースを管理する権限を RAM ユーザーに付与します。これは、ドメイン名管理における最高レベルの権限です。
Alibaba Cloud アカウントで RAM コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
Users ページの ログイン名 リストで、対象の RAM ユーザーのアクション列にある ポリシーのアタッチ をクリックします。
Attach Policy パネルで、権限付与の設定を行います。
Account で、[アカウント] を選択します。
説明システムによって Principal が自動的に指定されます。
{type} を選択します。
検索ボックスに domain と入力して、ドメイン関連のシステムポリシーを検索します。
AliyunDomainFullAccessを選択します。Grant permissions をクリックします。
カスタムポリシーの作成による読み取り専用権限の付与
RAM コンソールでカスタムポリシーを作成し、RAM ユーザーに読み取り専用権限を付与できます。これにより、権限を付与された RAM ユーザーは、Alibaba Cloud アカウントに属するドメイン名を表示できますが、管理はできなくなります。
左側のナビゲーションウィンドウで、 を選択します。
Policies ページで、Create Policy をクリックします。
Create Policy ページで、JSON タブをクリックします。
エディターに次のポリシースクリプトを入力し、はい をクリックします。
{ "Version": "1", "Statement": [ { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }Policy Type を指定し、任意で Description を入力します。
[ポリシー名] は必須です。128 文字以内で、文字、数字、ハイフン (-) のみ使用できます。
関連設定の詳細については、「JSON エディタータブでのカスタムポリシーの作成」をご参照ください。
はい をクリックします。
作成したカスタムポリシーは、次のいずれかの方法で表示できます。
方法 1: [ポリシー] ページで、Policy Type ドロップダウンリストから {type} を選択します。
方法 2: Attach Policy パネルで、{type} を選択します。
単一ドメインを管理する権限の付与
RAM コンソールでカスタムポリシーを作成し、RAM ユーザーに単一のドメイン名を管理する権限を付与できます。これにより、権限を付与された RAM ユーザーは、example.com のような特定のドメイン名のみを管理できます。
権限付与は、ポリシーに記載されているアクションに対してのみサポートされます。各アクションの権限付与ルールについては、「ドメイン API の権限付与ルール」をご参照ください。
権限付与後、RAM ユーザーは Alibaba Cloud ドメインコンソールにログインし、Alibaba Cloud アカウントに属するすべてのドメイン名を表示できます。ただし、管理できるのは権限が付与された特定のドメイン名のみです。
左側のナビゲーションウィンドウで、 を選択します。
Policies ページで、Create Policy をクリックします。
Create Policy ページで、JSON タブをクリックします。
エディターに次のポリシースクリプトを入力します。
example.comをご利用のドメイン名に置き換えてから、はい をクリックします。{ "Version": "1", "Statement": [ { "Action": [ "domain:DnsModification", "domain:SecuritySetting", "domain:RealNameVerificationOperation", "domain:DnsHostModification", "domain:CreateOrderActivate", "domain:CreateOrderRenew", "domain:CreateOrderRedeem", "domain:CreateOrderTransfer", "domain:DomainTransferInOperation", "domain:DomainTransferOutOperation", "domain:QualificationAuditOperation", "domain:EnsSetting", "domain:DnsSecSetting", "domain:SaveArtExtension", "domain:CreateOrderPendingDelete" ], "Resource": "acs:domain:*:*:domain/example.com", "Effect": "Allow" }, { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }Policy Type を指定し、任意で Description を入力します。
[ポリシー名] は必須です。128 文字以内で、文字、数字、ハイフン (-) のみ使用できます。
関連設定の詳細については、「JSON エディタータブでのカスタムポリシーの作成」をご参照ください。
はい をクリックします。
作成したカスタムポリシーは、次のいずれかの方法で表示できます。
方法 1: [ポリシー] ページで、Policy Type ドロップダウンリストから {type} を選択します。
方法 2: Attach Policy パネルで、{type} を選択します。
次のステップ
権限を付与された RAM ユーザーアカウントでコンソールにログインします。詳細については、「RAM ユーザーとして Alibaba Cloud コンソールにログイン」をご参照ください。