云解析DNS提供具体的 API 鉴权规则说明,主要是应用于系统策略不能满足使用的,客户需要设置自定义权限策略。
授权粒度说明
- 服务级别(service):将云解析DNS作为一个整体进行授权。例如云解析DNS提供的系统权限策略“AliyunDNSFullAccess”、“AliyunDNSReadyOnlyAccess”就均属于服务级别的整体授权。
- 操作级别(Action):是通过云解析DNSOPEN API级别进行授权。一个RAM用户可以对云解析DNS的某类资源执行某几个指定的操作。
- 资源级别(Resource):对执行资源的指定操作进行授权,例如云解析DNS的可授权的DNS资源类别分别包含Domain、instance、group三种。
DNS资源类型说明
目前,可以在 RAM 中进行授权的资源类型及描述方式如下表所示:
| 资源类型 | 授权策略中的资源描述方式 | 描述方式 |
|---|---|---|
| Domain | acs:alidns:*:$accountid:domain/*
acs:alidns:*:$accountid:domain/$domainName |
授权RAM用户管理主账号的域名,例如添加域名、删除域名、添加解析、删除解析、开通辅助DNS等等 |
| instance | acs:alidns:*:$accountid:instance/*
acs:alidns:*:$accountid:instance/$instanceid |
授权子账号管理付费DNS,例如获取云解析收费版本产品列表、更换域名 |
| group | acs:alidns:*:$accountid:group/*
acs:alidns:*:$accountid:group/$groupId |
授权子账号管理域名分组,例如对域名分组的创建、修改、删除等 |
例如:RAM用户授权管理某一个域名的完全权限,“Resource” 代表的是DNS的资源类型设置。
{
"Version": "1",
"Statement": [
{
"Action": "*",
"Resource": "acs:alidns:*:*:domain/midengd.xyz",
"Effect": "Allow"
},
{
"Action": "*",
"Resource": "acs:alidns:*:*:instance/alidns-cn-o400uxz3701",
"Effect": "Allow"
},
{
"Action": [
"alidns:DescribeSiteMonitorIspInfos",
"alidns:DescribeSiteMonitorIspCityInfos",
"alidns:DescribeSupportLines",
"alidns:DescribeDomains",
"alidns:DescribeDomainNs",
"alidns:DescribeDomainGroups"
],
"Resource": "acs:alidns:*:*:*",
"Effect": "Allow"
}
]
}API鉴权规则
| Action | 描述 | 鉴权规则 |
| AddDomain | 添加域名 | acs:alidns::{#accountId}:domain/* |
| DeleteDomain | 删除域名 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeDomains | 获取域名列表 | acs:alidns::{#accountId}:domain/* |
| ModifyHichinaDomainDNS | 修改域名DNS服务器 | acs:alidns::{#accountId}:domain/{#domainName} |
| GetMainDomainName | 获取主域名名称 | acs:alidns::{#accountId}:domain/* |
| DescribeDomainLogs | 获取域名操作日志 | acs:alidns::{#accountId}:domain/* |
| UpdateDomainRemark | 修改域名的备注 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeDomainInfo | 获取域名信息 | acs:alidns::{#accountId}:domain/{#domainName} |
| RetrieveDomain | 域名找回 | acs:alidns::{#accountId}:domain/* |
| GetTxtRecordForVerify | 生成TXT记录 | acs:alidns::{#accountId}:domain/* |
| TransferDomain | 跨账号转移DNS权限 | acs:alidns::{#accountId}:domain/* |
| DescribeDomainNs | 获取域名NS | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeTransferDomains | 获取跨账号转移DNS权限列表 | acs:alidns::{#accountId}:domain/* |
| DescribeDnsProductInstances | 获取付费版DNS产品实例列表 | acs:alidns::{#accountId}:instance/* |
| BindInstanceDomains | 绑定付费版DNS域名 | acs:alidns::{#accountId}:instance/{#instanceId} |
| DescribeDnsProductInstance | 获取付费版DNS产品实例详情 | acs:alidns::{#accountId}:instance/{#instanceId} |
| UnbindInstanceDomains | 解绑付费版DNS域名 | acs:alidns::{#accountId}:instance/{#instanceId} |
| DescribeDomainGroups | 获取域名分组列表 | acs:alidns::{#accountId}:group/* |
| AddDomainGroup | 添加域名分组 | acs:alidns::{#accountId}:group/* |
| DeleteDomainGroup | 删除域名分组 | acs:alidns:*{#accountId}:group/{#groupId} |
| UpdateDomainGroup | 修改域名分组 | acs:alidns::{#accountId}:group/{#groupId} |
| ChangeDomainGroup | 更改域名分组 | acs:alidns::{#accountId}:domain/{#domainName} acs:alidns::{#accountId}:group/{#groupId} |
| AddDomainRecord | 添加解析记录 | acs:alidns::{#accountId}:domain/{#domainName} |
| DeleteDomainRecord | 删除解析记录 | acs:alidns::{#accountId}:domain/{#domainName} |
| UpdateDomainRecord | 修改解析记录 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeDomainRecords | 获取解析记录列表 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeDomainRecordInfo | 获取解析记录信息 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeSubDomainRecords | 获取子域名解析记录列表 | acs:alidns::{#accountId}:domain/{#domainName} |
| DeleteSubDomainRecords | 删除主机记录的解析记录 | acs:alidns::{#accountId}:domain/{#domainName} |
| SetDomainRecordStatus | 设置解析记录状态 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeRecordLogs | 获取解析记录的操作日志 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeSupportLines | 获取解析线路列表 | acs:alidns:*:$accountid:* |
| UpdateDomainRecordRemark | 修改解析记录的备注 | acs:alidns::{#accountId}:domain/{#domainName} |
| AddDomainBackup | 新建域名备份 | acs:alidns::{#accountId}:domain/* |
| DescribeDomainStatistics | 获取主域名请求量实时统计 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeDomainStatisticsSummary | 获取全部域名的请求量统计列表 | acs:alidns::{#accountId}:domain/* |
| DescribeRecordStatistics | 获取子域名请求量统计列表 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeRecordStatisticsSummary | 获取全部子域名的请求量统计 | acs:alidns::{#accountId}:domain/{#domainName} |
| SetDNSSLBStatus | 开启关闭权重配置 | acs:alidns::{#accountId}:domain/{#domainName} |
| UpdateDNSSLBWeight | 修改权重 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeDNSSLBSubDomains | 获取权重配置子域名列表 | acs:alidns::{#accountId}:domain/{#domainName} |
| AddCustomLine | 添加自定义线路 | acs:alidns::{#accountId}:domain/{#domainName} |
| UpdateCustomLine | 更新自定义线路 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeCustomLines | 查询自定义线路列表 | acs:alidns::{#accountId}:domain/{#domainName} |
| DescribeCustomLine | 查询自定义线路 | acs:alidns::{#accountId}:domain/{#domainName} |