为细分账号权限,提升账号安全性,您可以通过访问控制RAM(Resource Access Management)将域名的管理权限授权给RAM用户,使被授权的RAM用户可以管理域名。本文为您介绍如何授权RAM用户管理域名。

前提条件

已成功创建RAM用户,请参见创建RAM用户

背景信息

访问控制RAM是阿里云提供的资源访问控制服务,您可以通过RAM授权RAM用户管理域名。默认支持系统策略和自定义策略两种,域名的系统策略目前仅支持AliyunDomainFullAccess,即管理域名的权限策略。如果系统策略无法满足您的需求,您可以创建自定义策略实现精细化权限管理。
说明 本文介绍了两种自定义策略:设置只读权限和管理某个域名的权限。如您还需创建其他自定义策略,请参见创建自定义策略

授权RAM用户读写权限

您可以通过RAM,添加AliyunDomainFullAccess系统策略给对应的RAM用户,授权RAM用户管理域名。该权限允许被授权的RAM用户管理主账号下的所有域名资源,属于最大权限。

  1. 云账号登录RAM控制台
  2. 创建RAM用户
  3. 在左侧导航栏的人员管理菜单下,单击用户
  4. 用户登录名称/显示名称列表下,找到目标RAM用户。
  5. 单击添加权限,被授权主体会自动填入。
  6. 添加权限对话框中,配置授权信息。
    1. 选择权限为系统权限策略
    2. 搜索框中输入Domain,会展现域名相关的系统策略。
    3. 单击AliyunDomainFullAccess,添加至已选择区域框中。
  7. 单击确定
  8. 单击完成

授权RAM用户只读权限

您可以通过RAM创建自定义策略,授权给RAM用户只读权限。该权限允许被授权的RAM用户查看主账号下的域名,但不支持对域名进行管理。自定义策略的脚本如下:
{
   "Version": "1",
   "Statement": [
     {
       "Action": [
         "domain:Query*"
       ],
       "Resource": "acs:domain:*:*:*",
       "Effect": "Allow"
     }
    ]
}
详细操作步骤请参见创建自定义策略

授权RAM用户管理单个域名的权限

您可以通过RAM创建自定义策略,授权给RAM用户管理某个域名的权限。该权限允许被授权的RAM用户管理某一个域名的资源,例如,授权RAM用户管理“example.com”域名。自定义策略的脚本如下:
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
      "domain:DomainInfoModification",
      "domain:DomainTransferInOperation",
      "domain:DnsModification",
      "domain:SecuritySetting",
      "domain:RealNameVerificationOperation",
      "domain:DomainTransferOutOperation",
      "domain:DnsHostModification",
      "domain:RegistrantProfileOperation",
      "domain:DomainGroupOperation",
      "domain:EmailVerificationOperation",
      "domain:DomainInfoModification"
      ],
      "Resource": "acs:domain:*:*:domain/example.com",
      "Effect": "Allow"
    },
    {
      "Action":
      "domain:Query*",
      "Resource": "acs:domain:*:*:*",
      "Effect": "Allow"
    }
  ]
}
详细操作步骤请参见创建自定义策略

后续步骤

使用被授权的RAM用户的账号登录控制台,请参见RAM用户登录控制台