首页 > 其他分享 >阿里云如何配置子域名及其对应 RAM 访问权限

阿里云如何配置子域名及其对应 RAM 访问权限

时间:2023-05-25 10:46:11浏览次数:55  
标签:domain sub AK RAM 域名 alidns 权限

背景

背景:

  • 假设只有一个二级域名 domain.com,有多套环境的情况下,可能需要分配不同的三级子域名 sub.domain.com,每个环境可能需要再配置四级子域名 sub.sub.domain.com
  • 如果使用一个 AK 拥有所有域名的 DNS 权限,可能不太安全(即使互相信任,也无法避免误操作导致影响其他环境)

需求:

  • 每套环境需要拥有自己的一套 AK,并能自己管理自己的域名,互不冲突

操作步骤

1 添加子域名

阿里云的 RAM 访问控制中,不允许使用通配等方式配置域名资源(因为操作是针对 AUTHORITY SECTION 的),因此必须先拆分出子域名。

首先在 域名解析 页面添加子域名(本文以 env1.domain.com 为例)

image

添加域名需要 TXT 记录验证

image

按照提示要求在你的主域名添加对应的 TXT 主机记录后点击验证即可添加成功。

2 创建子域名的 RAM 权限策略

其策略类似如下(需要把 ${your-sub-domain} 改为刚才创建的子域名,如本文的 env1.domain.com),此处虽然可以使用通配,但名称必须是域名解析中列出的域名值。

{
    "Version": "1",
    "Statement": [
        {
            "Action": "alidns:*",
            "Resource": "acs:alidns:::domain/${your-sub-domain}",
            "Effect": "Allow"
        },
        {
            "Action": [
                "alidns:Describe*"
            ],
            "Resource": "acs:alidns:::*",
            "Effect": "Allow"
        }
    ]
}

这里配置了两个策略:

  • 第一个策略是允许 acs:alidns:::domain/${your-sub-domain} 资源的所有 alidns:* 操作
  • 第二个策略是允许所有 acs:alidns:::* 资源的 Describe alidns:Describe* 操作(此处可能还需要 Describe 其他的资源,阿里云文档和客服并没有给出明确的答复)

3 子账号赋权和 AK 申请

新建一个 RAM 用户,需要勾选 OpenAPI 调用访问

image

之后进入用户详情创建 AK

image

进入权限管理为用户赋予刚才创建的策略,或者你也可以为用户组赋权后将用户加入用户组(推荐)

image

4 使用 AK

之后根据使用的不同的 ACME 或 DDNS 服务等的文档配置 AK 即可

标签:domain,sub,AK,RAM,域名,alidns,权限
From: https://www.cnblogs.com/sangria/p/17430460.html

相关文章

  • Entity Framework的最佳实践一
    EntityFramework(EF)Core是轻量化、可扩展、开源和跨平台版的常用EntityFramework数据访问技术。EFCore可用作对象关系映射程序(O/RM) 创建DbContext 对象DbContext的生存期DbContext 的生存期从创建实例时开始,并在释放实例时结束。DbContext生成通过依......
  • Cannot run program “G:\Java\bin\java.exe“ (in directory “C:\compile-serve
    今夜拾起两年前早已遗忘的java踌躇满志打开idea发现早已物是人非他报错了,然鹅并没有解决,解决方法我把Structure里多余的jdk删掉,只剩下jdk1.8,如图,就解决了......
  • 使用 TensorFlow 自动微分和神经网络功能估算线性回归的参数(Estimate parameters for
    大多数的深度学习框架至少都会具备以下功能:(1)张量运算(2)自动微分(3)神经网络及各种神经层TensorFlow框架亦是如此。在《深度学习全书公式+推导+代码+TensorFlow全程案例》——洪锦魁主编清华大学出版社ISBN978-7-302-61030-4这本书第3章《TensorFlow架构与主要功能》这一......
  • python:Error: EPERM: operation not permitted, mkdir 'F:\Program Files\nodejs\n
     可以发现文件没有权限npmERR!Error:EPERM:operationnotpermitted,mkdir'F:\ProgramFiles\nodejs\node_global\node_modules'将nodejs的文件权限改为完全控制之后操作即可 ......
  • drf之登录功能,认证组件,权限组件,频率组件
    目录一、登录功能表模型视图类回顾路由二、认证组件认证组件使用步骤(固定用法)三、权限组件权限类的使用步骤四、频率组件频率类的使用步骤一、登录功能表模型classUserInfo(models.Model):name=models.CharField(max_length=32)password=models.CharField(max_......
  • springboot项目启动报错java.lang.NoSuchMethodError: org.springframework.boot.buil
    产生此问题的原因是由于springboot版本兼容性导致的:java.lang.NoSuchMethodError:org.springframework.boot.builder.SpringApplicationBuilder.<init>([Ljava/lang/Object;)V2019-08-2918:04:54.089ERROR[restartedMain][SpringApplication.java:842]-Applicationrunfail......
  • django配置文件作用,drf 登录功能,drf认证组件,drf权限组件,drf频率组件
    django配置文件作用:    drf登录功能:view内:from.modelsimportUserInfo,UserTokenfromrest_framework.viewsetsimportViewSetimportuuidfromrest_framework.responseimportResponsefromrest_framework.decoratorsimportactionclassUser......
  • 同步mysql数据库binlog用户所需要权限
    同步mysqlbinlog用户读写权限报错提示doesnothaveREPLICATION_CLENTprivilege 使用场景:常用于阿里云flink同步数据库binlog使用解决方案:fiink cdc 的表用户,需要有Replicationclient,Replicationslave权限。授权命令如下:grantReplicationclienton*.* toods_base@......
  • 恒创科技:香港服务器如何操作域名解析让网站上线?
    ​网站上线是一个需要多个步骤的过程,其中之一就是解析IP。在这个过程中,您需要将您的网站域名解析到香港服务器IP地址,以便访问者可以通过域名来访问您的网站。下面是解析IP的一般步骤:1.获取服务器IP地址:首先,您需要获取您的服务器IP地址。这可以通过登录您的服务器控......
  • 权限
    '''权限类使用1写一个类,继承BasePermission2在类中写方法:has_permission1如果有权限,返回Trueifrequest.user.is_super==1:returnTrue2如果没有权限,返回FalsereturnFalse3错误信息是self.message=""self.message=""......