如果您有多个域名进行了DNS托管,您的企业里可能会有多个用户需要使用这些域名来做DNS设置。如果这些用户共享使用您的云账号密钥,那么存在以下问题:
- 您的密钥由多人共享,泄密风险高。
- 您无法限制用户的访问权限,容易出现误操作,导致安全风险。
访问控制 RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过 RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。
访问控制 RAM 将帮助您管理用户对资源的访问权限控制。例如,为了加强安全控制,您可以给某个群组附加一个系统授权策略。常用的授权策略包括:
AliyunAlidnsFullAccess
管理云解析(Alidns)的权限该权限可以让被授权的子账号管理主账号的的所有DNS资源,属于最大权限。
{
"Statement": [
{
"Action": "alidns:*",
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "1"
}
AliyunAlidnsDomainSignle
云解析(Alidns)某个域名(example.com)完全的权限该权限是可以让被授权子账号针对某一个域名来管理其所有DNS资源。
{
"Version": "1",
"Statement": [
{
"Action": "alidns:*",
"Resource": "acs:alidns:*:*:domain/example.com",
"Effect": "Allow"
},
{
"Action": [
"alidns:DescribeSiteMonitorIspInfos",
"alidns:DescribeSiteMonitorIspCityInfos",
"alidns:DescribeSupportLines",
"alidns:DescribeDomains"
],
"Resource": "acs:alidns:*:*:*",
"Effect": "Allow"
}
]
}
AliyunAlidnsReadOnlyAccess
只读访问云解析(Alidns)的权限该权限可以让被授权的子账号只能查看却不可管理主账号下的DNS资源。
{
"Version": "1",
"Statement": [
{
"Action": "alidns:Describe*",
"Resource": "*",
"Effect": "Allow"
}
]
}
更多关于访问控制 RAM 的介绍,请参考 RAM产品文档。