アカウントのセキュリティを向上させ、詳細なアクセスの制御を実装するために、Resource Access Management (RAM) を使用して RAM ユーザーにドメイン名の管理権限を付与できます。これにより、権限を付与された RAM ユーザーはドメイン名を管理できるようになります。このトピックでは、RAM ユーザーにドメイン名を管理する権限を付与する方法について説明します。
前提条件
RAM ユーザーが作成されていること。詳細については、「RAM ユーザーの作成」をご参照ください。
背景情報
RAM は、Alibaba Cloud が提供するリソースのアクセスの制御サービスです。RAM を使用して、RAM ユーザーにドメイン名を管理する権限を付与できます。デフォルトでは、RAM はシステムポリシーとカスタムポリシーをサポートしています。ドメインに関する唯一のシステムポリシーは、ドメイン名の完全な管理権限を付与する AliyunDomainFullAccess です。システムポリシーが要件を満たさない場合は、カスタムポリシーを作成して、詳細な権限コントロールを行うことができます。
このトピックでは、RAM ユーザーにすべてのドメイン名に対する読み取り専用権限と、単一のドメイン名に対する管理権限を付与するために使用される 2 つのカスタムポリシーについて説明します。他のカスタムポリシーの作成方法の詳細については、「カスタムポリシーの作成」をご参照ください。
システムポリシーのアタッチによる RAM ユーザーへの読み取り/書き込み権限の付与
RAM コンソールで、AliyunDomainFullAccess システムポリシーを RAM ユーザーにアタッチして、ドメイン名の管理権限を付与します。このポリシーは最高レベルの権限を付与します。権限を付与された RAM ユーザーは、Alibaba Cloud アカウント内のすべてのドメイン名を管理できます。
Alibaba Cloud アカウントで RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
「Users」ページで、「User Login Name」列から RAM ユーザーを見つけます。「操作」列の「Attach Policy」をクリックします。
Attach Policy パネルで、権限付与設定を構成します。
リソースの範囲を Account に設定します。
説明システムが自動的にPrincipalフィールドを埋め込みます。
System Policy を選択します。
検索ボックスに domain と入力します。ドメイン名に関連するシステムポリシーがリストに表示されます。
AliyunDomainFullAccessを選択します。[OK] をクリックします。
カスタムポリシーの作成による RAM ユーザーへの読み取り専用権限の付与
RAM コンソールでカスタムポリシーを作成して、RAM ユーザーに読み取り専用権限を付与できます。権限を付与された RAM ユーザーは、Alibaba Cloud アカウント内のドメイン名を表示できますが、これらのドメイン名を管理することはできません。
左側のナビゲーションウィンドウで、 を選択します。
「Policies」ページで、Create Policy をクリックします。
Create Policy ページで、JSON タブをクリックします。
コードエディタで、次のカスタムポリシー スクリプトを入力し、はい をクリックします。
{ "Version": "1", "Statement": [ { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
ダイアログボックスで、Policy Type および Description(オプション)を設定します。
関連する設定の詳細については、「スクリプト編集モードを使用したカスタムポリシーの作成」をご参照ください。
[OK] をクリックします。
作成したカスタムポリシーは、次のいずれかの方法で表示できます。
方法 1: ポリシーページで、ドロップダウンリストからPolicy Typeを選択し、Custom Policyを選択します。
方法 2: Attach Policy パネルで、「ポリシー」ドロップダウンリストから Custom Policy を選択します。
カスタムポリシーの作成による RAM ユーザーへの単一ドメイン名管理権限の付与
RAM コンソールでカスタムポリシーを作成して、RAM ユーザーに単一のドメイン名を管理する権限を付与します。たとえば、RAM ユーザーに example.com ドメイン名を管理する権限を付与するには、以下の手順に従います。
ドメイン名に対する操作の一部のみ権限付与が可能です。各操作の認証ルールの詳細については、「ドメイン API の認証ルール」をご参照ください。
カスタムポリシーを RAM ユーザーにアタッチすると、その RAM ユーザーは Alibaba Cloud ドメイン名コンソールにログインして、Alibaba Cloud アカウント内のすべてのドメイン名を表示できます。ただし、RAM ユーザーが管理できるのは、カスタムポリシーで指定されたドメイン名のみです。
左側のナビゲーションウィンドウで、 を選択します。
「Policies」ページで、Create Policy をクリックします。
Create Policy ページで、JSON タブをクリックします。
コードエディタで、次のカスタムポリシースクリプトを入力します。
example.comを対象のドメイン名に置き換えます。 はい をクリックします。{ "Version": "1", "Statement": [ { "Action": [ "domain:DnsModification", "domain:SecuritySetting", "domain:RealNameVerificationOperation", "domain:DnsHostModification", "domain:CreateOrderActivate", "domain:CreateOrderRenew", "domain:CreateOrderRedeem", "domain:CreateOrderTransfer", "domain:DomainTransferInOperation", "domain:DomainTransferOutOperation", "domain:QualificationAuditOperation", "domain:EnsSetting", "domain:DnsSecSetting", "domain:SaveArtExtension", "domain:CreateOrderPendingDelete" ], "Resource": "acs:domain:*:*:domain/example.com", "Effect": "Allow" }, { "Action": [ "domain:Query*" ], "Resource": "acs:domain:*:*:*", "Effect": "Allow" } ] }
ダイアログボックスで、Policy TypeとDescription (任意) を設定します。
関連する設定の詳細については、「スクリプト編集モードを使用したカスタムポリシーの作成」をご参照ください。
はい をクリックします。
作成したカスタムポリシーは、次のいずれかの方法で表示できます。
方法 1: ポリシー ページで、Policy Type をドロップダウンリストから選択し、Custom Policy を選択します。
方法 2: Attach Policy パネルで、ポリシー ドロップダウンリストから Custom Policy を選択します。
次のステップ
権限を付与された RAM ユーザーとして Alibaba Cloud ドメイン名コンソールにログインします。詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログイン」をご参照ください。