授權RAM使用者管理網域名稱 - Domain Names

為細分帳號許可權，提升帳號安全性，您可以通過存取控制RAM（Resource Access Management）將網域名稱的系統管理權限授權給RAM使用者，使被授權的RAM使用者可以管理網域名稱。本文為您介紹如何授權RAM使用者管理網域名稱。

前提條件

已成功建立RAM使用者，請參見建立RAM使用者。

背景資訊

存取控制RAM是阿里雲提供的資源存取控制服務，您可以通過RAM授權RAM使用者管理網域名稱。預設支援系統策略和自訂策略兩種，網域名稱的系統策略目前僅支援AliyunDomainFullAccess，即管理網域名稱的權限原則。如果系統策略無法滿足您的需求，您可以建立自訂策略實現精微調權限管理。

說明

本文介紹了兩種自訂策略：設定唯讀許可權和管理某個網域名稱的許可權。如您還需建立其他自訂策略，請參見建立自訂權限原則。

通過選擇系統策略授權RAM使用者讀寫權限

您可以通過RAM控制台，添加AliyunDomainFullAccess系統策略給對應的RAM使用者，授權RAM使用者管理網域名稱。該許可權允許被授權的RAM使用者管理主帳號下的所有網域名稱資源，屬於最大許可權。

使用阿里雲帳號登入RAM控制台。
在控制台左側導覽列選擇身份管理 > 用戶。
在用戶頁面的登錄名稱列表中，單擊目標RAM使用者右側操作列下的新增授權。

在新增授權面板，完成相關授權資訊配置。

授權範圍選擇賬號級別。
說明
授權主體系統會自動填入。
選擇許可權為系統策略。
在文本搜尋方塊中輸入domain，列表中會展現網域名稱相關的系統策略。
勾選AliyunDomainFullAccess。
單擊確認新增授權。

通過指令碼編輯方式建立權限原則：授權RAM使用者唯讀許可權

您可以通過RAM控制台建立自訂策略，授權給RAM使用者唯讀許可權。該許可權允許被授權的RAM使用者查看主帳號下的網域名稱，但不支援對網域名稱進行管理。

在左側導覽列，選擇權限管理 > 權限策略。
在權限策略頁面，單擊創建權限策略。
在創建權限策略頁面，單擊腳本編輯頁簽。

在指令碼編輯文字框中，輸入以下自訂策略的指令碼，完成後單擊確認。

{
   "Version": "1",
   "Statement": [
     {
       "Action": [
         "domain:Query*"
       ],
       "Resource": "acs:domain:*:*:*",
       "Effect": "Allow"
     }
    ]
}

在彈窗中輸入策略類型和備註（可選填）。
更多相關配置詳情說明，請參見通過指令碼編輯模式建立自訂權限原則。
單擊確認。
您可以通過以下兩種方式查看已建立的自訂策略。
- 方式一：在權限原則頁面，在策略類型下拉式清單中選中自定義策略。
- 方式二：在新增授權面板，選擇自定義策略。

通過指令碼編輯方式建立權限原則：授權RAM使用者管理單個網域名稱的許可權

您可以通過RAM控制台建立自訂策略，授權RAM使用者管理某個網域名稱的許可權。該許可權允許被授權的RAM使用者管理某一個網域名稱的資源，例如，授權RAM使用者管理example.com網域名稱。具體操作，請參見下文。

說明

目前僅支援對以下Action授權，關於各Action的鑒權規則，具體請參見Domain API鑒權規則。
RAM使用者授權成功後，您可以使用RAM使用者登入阿里雲網域名稱控制台並查看主帳號下的所有網域名稱，但只能對被授權的網域名稱進行管理操作。

在左側導覽列，選擇權限管理 > 權限策略。
在權限策略頁面，單擊創建權限策略。
在創建權限策略頁面，單擊腳本編輯頁簽。

在指令碼編輯文字框中，輸入以下自訂策略的指令碼，其中example.com需替換為目標網域名稱，完成後單擊確認。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
      "domain:DnsModification",
      "domain:SecuritySetting",
      "domain:RealNameVerificationOperation",
      "domain:DnsHostModification",
      "domain:CreateOrderActivate",
      "domain:CreateOrderRenew",
      "domain:CreateOrderRedeem",
      "domain:CreateOrderTransfer",
      "domain:DomainTransferInOperation",
      "domain:DomainTransferOutOperation",
      "domain:QualificationAuditOperation",
      "domain:EnsSetting",
      "domain:DnsSecSetting",
      "domain:SaveArtExtension",
      "domain:CreateOrderPendingDelete"
      ],
      "Resource": "acs:domain:*:*:domain/example.com",
      "Effect": "Allow"
    },
    {
      "Action": [
      "domain:Query*"
      ],
      "Resource": "acs:domain:*:*:*",
      "Effect": "Allow"
    }
  ]
}

在彈窗中輸入策略類型和備註（可選填）。
更多相關配置詳情說明，請參見通過指令碼編輯模式建立自訂權限原則。
單擊確認。
您可以通過以下兩種方式查看已建立的自訂策略。
- 方式一：在權限原則頁面，在策略類型下拉式清單中選中自定義策略。
- 方式二：在新增授權面板，選擇自定義策略。

後續步驟

使用被授權的RAM使用者的帳號登入控制台，請參見RAM使用者登入阿里雲控制台。