通过RAM创建子账号成功,但是如何让子账号只看到主账号策略权限的某一个域名?让官网的例子做的,但是子账号进去还是看到了所有的域名(需要只看到设定某一个域名)
{
"Version": "1",
"Statement": [
{
"Action": [
"domain:DomainInfoModification",
"domain:DomainTransferInOperation",
"domain:DnsModification",
"domain:SecuritySetting",
"domain:RealNameVerificationOperation",
"domain:DomainTransferOutOperation",
"domain:DnsHostModification",
"domain:RegistrantProfileOperation",
"domain:DomainGroupOperation",
"domain:EmailVerificationOperation",
"domain:DomainInfoModification"
],
"Resource": "acs:domain:*:*:domain/example.com",
"Effect": "Allow"
},
{
"Action":
"domain:Query*",
"Resource": "acs:domain:*:*:*",
"Effect": "Allow"
}
]
}版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
要实现子账号仅能查看和管理主账号策略权限中的某一个特定域名(例如example.com),您需要确保自定义权限策略中对资源的定义精确到该域名,同时避免给予过于宽泛的访问权限。根据您的需求和提供的示例策略,这里存在一个问题:第二个声明给予了所有域名的查询权限,这将允许子账号查看所有域名。为了解决这个问题,您应当调整策略,仅授权针对特定域名的查询操作。以下是修改后的策略示例:
{
"Version": "1",
"Statement": [
{
"Action": [
"domain:DomainInfoModification",
"domain:DomainTransferInOperation",
"domain:DnsModification",
"domain:SecuritySetting",
"domain:RealNameVerificationOperation",
"domain:DomainTransferOutOperation",
"domain:DnsHostModification",
"domain:RegistrantProfileOperation",
"domain:DomainGroupOperation",
"domain:EmailVerificationOperation"
],
"Resource": "acs:domain:*:*:domain/example.com",
"Effect": "Allow"
},
{
"Action": "domain:Query*",
"Resource": "acs:domain:*:*:domain/example.com",
"Effect": "Allow"
}
]
}
在这个修改后的策略中: - 第一个声明保持不变,允许对example.com这一特定域名进行多种管理操作。 - 第二个声明被调整,原本允许查询所有域名的资源定义"Resource": "acs:domain:*:*:*"被替换为只针对example.com的查询权限,即"Resource": "acs:domain:*:*:domain/example.com"。
重要提醒:在应用此策略后,请确保刷新子账号的会话或重新登录,以使权限变更生效。此外,检查是否有其他策略同时作用于该子账号,因为更宽松的策略可能会覆盖这个限制性策略,导致预期外的权限。
通过上述调整,子账号将只能看到并管理指定的域名example.com,而不再显示或允许操作其他任何域名。
