複数のドメインに対してDNSホスティングが有効になっている場合、複数のユーザーがこれらのドメインでDNS設定を実行する必要があります。Alibaba Cloudのアカウントキーがこれらのユーザー間で共有されている場合は、次の2つの問題が発生します。
キーは漏れの危険性が高い。
他のユーザーのアクセス許可を制御することができないため、誤操作によるセキュリティリスクが発生する可能性があります。
RAMは、Alibaba Cloudによって提供されるリソースアクセスコントロールサービスです。RAMを使用すると、ユーザー(従業員、システム、アプリケーションなど)を集中管理し、どのユーザーがどのリソースにアクセスできるかを制御できます。
RAMは、異なるユーザーへのリソースアクセス許可を管理するのに役立ちます。たとえば、強化されたセキュリティ制御のために、次の共通認可ポリシーをグループに適用することができます。
- AliyunAlidnsFullAccess(Alibaba Cloud DNS(Alidns)を管理するための許可)。
これにより、承認されたサブアカウントは、メインアカウントのDNSリソースを管理するための完全な権限を付与されます。これはサブアカウントに対して最大の権限を付与することにもなります。
{"Statement": [{"Action": "alidns:*","Effect": "Allow","Resource": "*"}],"Version": "1"}
- AliyunAlidnsDomainSignle(example.comのドメインに対する完全なアクセス許可)Alibaba Cloud DNS(Alidns)
これにより、特定のドメインのDNSリソースを管理するための完全な権限を持つ認可されたサブアカウントが許可されます。
{"Version": "1","Statement": [{"Action": "alidns:*","Resource": "acs:alidns:*:*:domain/example.com","Effect": "Allow"},{"Action": ["alidns:DescribeSiteMonitorIspInfos","alidns:DescribeSiteMonitorIspCityInfos","alidns:DescribeSupportLines","alidns:DescribeDomains"],"Resource": "acs:alidns:*:*:*","Effect": "Allow"}]}
- AliyunAlidnsReadOnlyAccess(Alibaba Cloud DNS(Alidns)の読み取り専用アクセス許可
これにより、承認されたサブアカウントは、メインアカウントのDNSリソースを表示できますが、管理できません。
{"Version": "1","Statement": [{"Action": "alidns:Describe*","Resource": "*","Effect": "Allow"}]}
RAMの詳細については、RAM製品のドキュメントを参照してください。