Alibaba Cloud の Security Center からの推奨事項やアラートを確認している中で RAM の Domain Alias が正常に機能していないことがわかりました。 具体的には Domain Ownership の確認が出来ていないことが原因のようです。 正常化のため実施した内容を記録として残します。
RAM の Domain Alias とは具体的には以下の設定です。 RAM > Settings > Advanced > Domain Alias です。
3年前の 2020年3月22日に設定していますが Status は “Not Verified”なので3年前から機能していなかったようです。 Domain Alias を使ってRAM ユーザでコンソールにログインすることもなかったので自分でも気づいていなかったということです。
設定を有効化するには自分が管理する DNS ゾーンに指定された内容で TXT レコードを作成します。 指定された内容は上記のスクリーンショットでも確認できるリンク “Domain Ownership Verification” をクリックします。
以下のとおりTXTレコードの内容が具体的に案内されますのでこの内容を登録していきます。
以下のスクリーンショットでは “An error occurred during domain ownership verification.”ということでまだドメイン所有者の確認がとれていないことがわかります。
私が管理している bigriver.jp ドメインは Alibaba Cloud DNS を利用しています。 Alibaba Cloud DNS に TXT レコードを追加します。
以下レコード登録時の画面ですが、通常の DNS では設定することがない項目があります。”DNS Request Source”です。これは送信元の国や回線毎に応答するレコード内容を変えることできる機能です。 例えばWWWサーバを中国と日本と米国にもっていて中国からDNSクエリには中国のWWWサーバのIPアドレスを返し、日本からは日本のWWWサーバ、その他は米国のWWWサーバのレコードを返すということが可能になります。 ロードバランサでも似たようなことができますがロードバランサの方がサーバのヘルスチェックを見れる分わかりやすいかもしまれせん。
あとは Alibaba Cloud DNS を使う理由の1つとなるTTL Period の設定で1秒を指定しています。
TXT レコード追加後は Verify Domain Ownership は成功しました。
この Domain Alias の使い道ですが RAM ユーザでのログインの場面となります。
以下のように@以下は指定した Domain Alias でRAMユーザによるログインが可能となります。 個人利用ではそこまで大きなメリットはないかもしれませんが企業利用の場合でログインするユーザがそれなりに多くいる場合は@以下に普段見慣れれないドメインを指定するのではなく自組織のドメインを指定できるわかりやすさがあります。
以上
