Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen las funciones de la API de Cloud DNS. Para obtener una descripción detallada de IAM, consulta la documentación de administración de identidades y accesos.
La IAM te permite adoptar el principio de seguridad de privilegio mínimo, de manera que solo otorgues el acceso necesario a tus recursos.
IAM te permite controlar quién tiene qué permisos para cuáles recursos mediante la configuración de políticas de IAM. Las políticas de IAM asignan roles específicos a un usuario, lo que le otorga ciertos permisos. Por ejemplo, quizás un usuario en particular necesite crear y modificar recursos de registros del sistema de nombres de dominio (DNS). Luego, debes otorgar a ese usuario (quién) el rol /roles/dns.admin, que incluye los permisos dns.changes.create y dns.resourceRecordSets.create (qué) para que pueda crear y actualizar los conjuntos de registros de recursos (cuáles). Por el contrario, es posible que las personas de un departamento de asistencia solo necesiten ver los conjuntos de registros de recursos existentes, por lo que obtendrán un rol de /roles/dns.reader.
Cloud DNS admite permisos de IAM a nivel del proyecto y a nivel de zona del DNS individual. El permiso predeterminado se encuentra a nivel del proyecto. Para configurar permisos a nivel de la zona de DNS (o recurso) individual, consulta Crea una zona con permisos de IAM específicos.
Permisos y funciones
Cada método de API de Cloud DNS requiere que el emisor tenga los permisos de IAM necesarios. Los permisos se asignan mediante el otorgamiento de funciones a un usuario, grupo o cuenta de servicio. Además de las funciones básicas de propietario, editor y visualizador, puedes otorgar funciones de la API de Cloud DNS a los usuarios de tu proyecto.
Permisos
En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método.
| Método | Permisos necesarios |
|---|---|
dns.changes.create para crear un conjunto de registros de recursos. |
dns.changes.create y dns.resourceRecordSets.create en el proyecto que contiene el conjunto de registros |
dns.changes.create para actualizar un conjunto de registros de recursos. |
dns.changes.create y dns.resourceRecordSets.update en el proyecto que contiene el conjunto de registros |
dns.changes.create para borrar un conjunto de registros de recursos. |
dns.changes.create y dns.resourceRecordSets.delete en el proyecto que contiene el conjunto de registros |
dns.changes.get |
dns.changes.get en el proyecto que contiene la zona administrada |
dns.changes.list |
dns.changes.list en el proyecto que contiene la zona administrada |
dns.dnsKeys.get |
dns.dnsKeys.get en el proyecto que contiene la zona administrada |
dns.dnsKeys.list |
dns.dnsKeys.list en el proyecto que contiene la zona administrada |
dns.managedZoneOperations.get |
dns.managedZoneOperations.get en el proyecto que contiene la zona administrada |
dns.managedZoneOperations.list |
dns.managedZoneOperations.list en el proyecto que contiene la zona administrada |
dns.managedZones.create |
dns.managedZones.create en el proyecto que contiene la zona administradaSi creas una zona privada, también necesitarás Si creas una zona privada con integración de GKE,
también necesitas |
dns.managedZones.delete |
dns.managedZones.delete en el proyecto que contiene la zona administrada |
dns.managedZones.get |
dns.managedZones.get en el proyecto que contiene la zona administrada |
dns.managedZones.list |
dns.managedZones.list en el proyecto que contiene la zona administrada |
dns.managedZones.update |
dns.managedZones.update en el proyecto que contiene la zona administradaSi creas una zona privada, también necesitarás Si creas una zona privada con integración de GKE,
también necesitas |
dns.policies.create |
dns.policies.create en el proyecto que contiene la política
Si la política se crea en una red de VPC, también necesitas |
dns.policies.delete |
dns.policies.delete en el proyecto que contiene la política |
dns.policies.get |
dns.policies.get en el proyecto que contiene la política |
dns.policies.list |
dns.policies.list en el proyecto que contiene la política |
dns.policies.update |
dns.policies.update en el proyecto que contiene la política
Si la política se actualiza para estar en una red de VPC, también necesitas |
dns.projects.get |
dns.projects.get en el proyecto |
dns.resourceRecordSets.create |
dns.resourceRecordSets.create en el proyecto que contiene el conjunto de registros |
dns.resourceRecordSets.delete |
dns.resourceRecordSets.delete en el proyecto que contiene el conjunto de registros |
dns.resourceRecordSets.get |
dns.resourceRecordSets.get en el proyecto que contiene el conjunto de registros |
dns.resourceRecordSets.list |
dns.resourceRecordSets.list en el proyecto que contiene la zona administrada |
dns.resourceRecordSets.update |
dns.resourceRecordSets.update y dns.changes.create en el proyecto que contiene el conjunto de registros |
dns.responsePolicies.create |
dns.responsePolicies.create en el proyecto que contiene la política de respuesta
También necesitas Si quieres crear una política de respuesta adjunta a un clúster de GKE, necesitas |
dns.responsePolicies.delete |
dns.responsePolicies.delete en el proyecto que contiene la política de respuesta |
dns.responsePolicies.get |
dns.responsePolicies.get en el proyecto que contiene la política de respuesta |
dns.responsePolicies.list |
dns.responsePolicies.list en el proyecto |
dns.responsePolicies.update |
dns.responsePolicies.update en el proyecto que contiene la política de respuesta
También necesitas Si quieres crear una política de respuesta adjunta a un clúster de GKE, necesitas |
dns.responsePolicyRules.create |
dns.responsePolicyRules.create en el proyecto que contiene la regla de política de respuesta |
dns.responsePolicyRules.delete |
dns.responsePolicyRules.delete en el proyecto que contiene la regla de política de respuesta |
dns.responsePolicyRules.get |
dns.responsePolicyRules.get en el proyecto que contiene la regla de política de respuesta |
dns.responsePolicyRules.list |
dns.responsePolicyRules.list en el proyecto que contiene la política de respuesta |
dns.responsePolicyRules.update |
dns.responsePolicyRules.update en el proyecto que contiene la regla de política de respuesta |
Funciones
En la siguiente tabla, se enumeran las funciones de IAM de la API de Cloud DNS con la lista correspondiente de todos los permisos que se incluyen en cada función. Cada permiso se puede aplicar a un tipo de recurso específico.
También puedes usar funciones básicas para hacer cambios de DNS.
| Role | Permissions |
|---|---|
DNS Administrator( Provides read-write access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
DNS Peer( Access to target networks with DNS peering zones |
|
DNS Reader( Provides read-only access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
Administra el control de acceso
Puedes usar la consola de Google Cloud para administrar el control de acceso a tus temas y proyectos.
Para configurar los controles de acceso a nivel de proyecto, sigue estos pasos.
Console
En la consola de Google Cloud, ve a la página IAM.
Selecciona tu proyecto en el menú desplegable superior.
Haga clic en Agregar.
En Principales nuevas, ingresa la dirección de correo electrónico de un principal nuevo.
Selecciona un rol de la lista.
Haz clic en Guardar.
Verifica que la principalaparezca en la lista con la función que le otorgaste.
¿Qué sigue?
- Para comenzar a usar Cloud DNS, consulta la Guía de inicio rápido: Configura registros DNS para un nombre de dominio con Cloud DNS.
- Para encontrar soluciones a problemas comunes que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.