Vai trò và quyền

Google Cloud cung cấp tính năng Quản lý danh tính và quyền truy cập (IAM), cho phép bạn cấp quyền truy cập chi tiết hơn vào các tài nguyên Google Cloud cụ thể và ngăn chặn quyền truy cập không mong muốn vào các tài nguyên khác. Trang này mô tả các vai trò của API Cloud DNS. Để biết nội dung mô tả chi tiết về IAM, hãy xem tài liệu về Quản lý danh tính và quyền truy cập.

IAM cho phép bạn áp dụng nguyên tắc bảo mật về đặc quyền tối thiểu để chỉ cấp quyền truy cập cần thiết vào tài nguyên của bạn.

IAM cho phép bạn kiểm soát ai có quyền gì đối với tài nguyên nào bằng cách đặt chính sách IAM. Chính sách IAM cấp các vai trò cụ thể cho người dùng, đồng thời cấp cho người dùng một số quyền nhất định. Ví dụ: một người dùng cụ thể có thể cần tạo và sửa đổi tài nguyên bản ghi Hệ thống tên miền (DNS). Sau đó, bạn sẽ cấp cho người dùng đó (who) vai trò /roles/dns.admin, vai trò này có các quyền dns.changes.create và dns.resourceRecordSets.create (what) để họ có thể tạo và cập nhật tập hợp bản ghi tài nguyên (which). Ngược lại, một bộ phận hỗ trợ có thể chỉ cần xem các nhóm bản ghi tài nguyên hiện có, vì vậy, họ sẽ nhận được vai trò /roles/dns.reader.

Cloud DNS hỗ trợ các quyền IAM ở cấp dự án và cấp vùng DNS riêng lẻ. Quyền mặc định là ở cấp dự án. Để định cấu hình quyền ở cấp vùng DNS (hoặc tài nguyên) riêng lẻ, hãy xem phần Tạo vùng có các quyền IAM cụ thể.

Quyền và vai trò

Mọi phương thức API Cloud DNS đều yêu cầu phương thức gọi phải có các quyền IAM cần thiết. Quyền được chỉ định bằng cách cấp vai trò cho một người dùng, nhóm hoặc tài khoản dịch vụ. Ngoài các vai trò cơ bản là Chủ sở hữu, Người chỉnh sửa và Người xem, bạn có thể cấp các vai trò API Cloud DNS cho người dùng dự án của mình.

Quyền

Bảng sau đây liệt kê các quyền mà phương thức gọi phải có để gọi từng phương thức.

Phương thức	(Các) quyền bắt buộc
dns.changes.create để tạo một tập hợp bản ghi tài nguyên.	dns.changes.create và dns.resourceRecordSets.create trên dự án chứa tập bản ghi.
dns.changes.create để cập nhật một tập hợp bản ghi tài nguyên.	dns.changes.create và dns.resourceRecordSets.update trên dự án chứa tập bản ghi.
dns.changes.create để xoá một nhóm bản ghi tài nguyên.	dns.changes.create và dns.resourceRecordSets.delete trên dự án chứa tập bản ghi.
dns.changes.get	dns.changes.get trên dự án chứa vùng được quản lý.
dns.changes.list	dns.changes.list trên dự án chứa vùng được quản lý.
dns.dnsKeys.get	dns.dnsKeys.get trên dự án chứa vùng được quản lý.
dns.dnsKeys.list	dns.dnsKeys.list trên dự án chứa vùng được quản lý.
dns.managedZoneOperations.get	dns.managedZoneOperations.get trên dự án chứa vùng được quản lý.
dns.managedZoneOperations.list	dns.managedZoneOperations.list trên dự án chứa vùng được quản lý.
dns.managedZones.create	dns.managedZones.create trên dự án chứa vùng được quản lý. Nếu đang tạo một vùng riêng tư, bạn cũng cần có dns.networks.bindPrivateDNSZone và dns.networks.targetWithPeeringZone trên mỗi dự án có mạng VPC được uỷ quyền truy cập vào vùng đó. Nếu đang tạo một vùng riêng tư có tích hợp GKE, bạn cũng cần có dns.gkeClusters.bindPrivateDNSZone để định cấu hình phạm vi cụm GKE.
dns.managedZones.delete	dns.managedZones.delete trên dự án chứa vùng được quản lý.
dns.managedZones.get	dns.managedZones.get trên dự án chứa vùng được quản lý.
dns.managedZones.list	dns.managedZones.list trên dự án chứa vùng được quản lý.
dns.managedZones.update	dns.managedZones.update trên dự án chứa vùng được quản lý. Nếu đang tạo một vùng riêng tư, bạn cũng cần có dns.networks.bindPrivateDNSZone và dns.networks.targetWithPeeringZone trên mỗi dự án có mạng VPC được uỷ quyền truy cập vào vùng đó. Nếu đang tạo một vùng riêng tư có tích hợp GKE, bạn cũng cần có dns.gkeClusters.bindPrivateDNSZone để định cấu hình phạm vi cụm GKE.
dns.policies.create	dns.policies.create trên dự án chứa chính sách. Nếu chính sách được tạo trên mạng VPC, bạn cũng cần dns.networks.bindPrivateDNSPolicy cho mỗi dự án chứa từng mạng VPC.
dns.policies.delete	dns.policies.delete trên dự án chứa chính sách.
dns.policies.get	dns.policies.get trên dự án chứa chính sách.
dns.policies.list	dns.policies.list trên dự án chứa chính sách.
dns.policies.update	dns.policies.update trên dự án chứa chính sách. Nếu chính sách được cập nhật để áp dụng cho mạng VPC, bạn cũng cần có dns.networks.bindPrivateDNSPolicy cho từng dự án chứa từng mạng VPC.
dns.projects.get	dns.projects.get trên dự án.
dns.resourceRecordSets.create	dns.resourceRecordSets.create trên dự án chứa tập bản ghi.
dns.resourceRecordSets.delete	dns.resourceRecordSets.delete trên dự án chứa tập bản ghi.
dns.resourceRecordSets.get	dns.resourceRecordSets.get trên dự án chứa tập bản ghi.
dns.resourceRecordSets.list	dns.resourceRecordSets.list trên dự án chứa vùng được quản lý.
dns.resourceRecordSets.update	dns.resourceRecordSets.update và dns.changes.create trên dự án chứa tập hợp bản ghi.
dns.responsePolicies.create	dns.responsePolicies.create trên dự án chứa chính sách phản hồi. Bạn cũng cần có dns.networks.bindDNSResponsePolicy để xác thực yêu cầu. Nếu muốn tạo chính sách phản hồi đính kèm vào một cụm GKE, bạn cần có dns.gkeClusters.bindDNSResponsePolicy.
dns.responsePolicies.delete	dns.responsePolicies.delete trên dự án chứa chính sách phản hồi.
dns.responsePolicies.get	dns.responsePolicies.get trên dự án chứa chính sách phản hồi.
dns.responsePolicies.list	dns.responsePolicies.list trên dự án.
dns.responsePolicies.update	dns.responsePolicies.update trên dự án chứa chính sách phản hồi. Bạn cũng cần có dns.networks.bindDNSResponsePolicy để xác thực yêu cầu. Nếu muốn tạo chính sách phản hồi đính kèm vào một cụm GKE, bạn cần có dns.gkeClusters.bindDNSResponsePolicy.
dns.responsePolicyRules.create	dns.responsePolicyRules.create trên dự án chứa quy tắc chính sách phản hồi.
dns.responsePolicyRules.delete	dns.responsePolicyRules.delete trên dự án chứa quy tắc chính sách phản hồi.
dns.responsePolicyRules.get	dns.responsePolicyRules.get trên dự án chứa quy tắc chính sách phản hồi.
dns.responsePolicyRules.list	dns.responsePolicyRules.list trên dự án chứa chính sách phản hồi.
dns.responsePolicyRules.update	dns.responsePolicyRules.update trên dự án chứa quy tắc chính sách phản hồi.

Vai trò

Bảng sau đây liệt kê các vai trò IAM của Cloud DNS API cùng với danh sách tương ứng gồm tất cả các quyền mà mỗi vai trò có. Mỗi quyền đều áp dụng cho một loại tài nguyên cụ thể.

Bạn cũng có thể sử dụng các vai trò cơ bản để thực hiện các thay đổi về DNS.

Role	Permissions
DNS Administrator (roles/dns.admin) Provides read-write access to all Cloud DNS resources. Lowest-level resources where you can grant this role: Managed zone	compute.networks.get compute.networks.list dns.changes.* dns.changes.create dns.changes.get dns.changes.list dns.dnsKeys.* dns.dnsKeys.get dns.dnsKeys.list dns.gkeClusters.* dns.gkeClusters.bindDNSResponsePolicy dns.gkeClusters.bindPrivateDNSZone dns.managedZoneOperations.* dns.managedZoneOperations.get dns.managedZoneOperations.list dns.managedZones.create dns.managedZones.delete dns.managedZones.get dns.managedZones.getIamPolicy dns.managedZones.list dns.managedZones.update dns.networks.* dns.networks.bindDNSResponsePolicy dns.networks.bindPrivateDNSPolicy dns.networks.bindPrivateDNSZone dns.networks.targetWithPeeringZone dns.networks.useHealthSignals dns.policies.* dns.policies.create dns.policies.delete dns.policies.get dns.policies.list dns.policies.update dns.projects.get dns.resourceRecordSets.* dns.resourceRecordSets.create dns.resourceRecordSets.delete dns.resourceRecordSets.get dns.resourceRecordSets.list dns.resourceRecordSets.update dns.responsePolicies.* dns.responsePolicies.create dns.responsePolicies.delete dns.responsePolicies.get dns.responsePolicies.list dns.responsePolicies.update dns.responsePolicyRules.* dns.responsePolicyRules.create dns.responsePolicyRules.delete dns.responsePolicyRules.get dns.responsePolicyRules.list dns.responsePolicyRules.update resourcemanager.projects.get resourcemanager.projects.list
DNS Peer (roles/dns.peer) Access to target networks with DNS peering zones	dns.networks.targetWithPeeringZone
DNS Reader (roles/dns.reader) Provides read-only access to all Cloud DNS resources. Lowest-level resources where you can grant this role: Managed zone	compute.networks.get dns.changes.get dns.changes.list dns.dnsKeys.* dns.dnsKeys.get dns.dnsKeys.list dns.managedZoneOperations.* dns.managedZoneOperations.get dns.managedZoneOperations.list dns.managedZones.get dns.managedZones.list dns.policies.get dns.policies.list dns.projects.get dns.resourceRecordSets.get dns.resourceRecordSets.list dns.responsePolicies.get dns.responsePolicies.list dns.responsePolicyRules.get dns.responsePolicyRules.list resourcemanager.projects.get resourcemanager.projects.list
Cloud DNS Service Agent (roles/dns.serviceAgent) Gives Cloud DNS Service Agent access to Cloud Platform resources.	compute.globalNetworkEndpointGroups.attachNetworkEndpoints compute.globalNetworkEndpointGroups.create compute.globalNetworkEndpointGroups.delete compute.globalNetworkEndpointGroups.detachNetworkEndpoints compute.globalNetworkEndpointGroups.get compute.globalOperations.get compute.healthChecks.get

Quản lý quyền kiểm soát truy cập

Bạn có thể sử dụng bảng điều khiển Google Cloud để quản lý quyền kiểm soát truy cập cho các chủ đề và dự án của mình.

Để đặt chế độ kiểm soát quyền truy cập ở cấp dự án, hãy làm theo các bước sau.

Bước tiếp theo

• Để bắt đầu sử dụng Cloud DNS, hãy xem bài viết Bắt đầu nhanh: Thiết lập bản ghi DNS cho tên miền bằng Cloud DNS.
• Để tìm giải pháp cho các vấn đề thường gặp mà bạn có thể gặp phải khi sử dụng Cloud DNS, hãy xem phần Khắc phục sự cố.