Google Cloud bietet mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) die Möglichkeit, bestimmten Google Cloud-Ressourcen detaillierte Zugriffsrechte zuzuweisen und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Auf dieser Seite werden die Cloud DNS API-Rollen beschrieben. Eine ausführliche Beschreibung von IAM finden Sie in der IAM-Dokumentation.
Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.
In IAM können Sie steuern, wer was für Berechtigungen für welche Ressourcen hat. Dazu legen Sie die IAM-Richtlinien fest. IAM-Richtlinien gewähren einem Nutzer bestimmte Rollen und dadurch bestimmte Berechtigungen. Beispielsweise muss ein bestimmter Nutzer möglicherweise DNS-Eintragsressourcen (Domain Name System) erstellen und ändern. Sie weisen dann diesem Nutzer (wer) die Rolle /roles/dns.admin
zu, die die Berechtigungen dns.changes.create
und dns.resourceRecordSets.create
(was) hat, sodass er Ressourcendatensätze erstellen und aktualisieren kann (welche). Eine Supportabteilung hingegen muss eventuell die vorhandenen Ressourcendatensätze nur aufrufen und benötigt daher lediglich die Rolle /roles/dns.reader
.
Cloud DNS unterstützt IAM-Berechtigungen auf Projektebene und auf der Ebene einer einzelnen DNS-Zone. Die Standardberechtigung gilt auf Projektebene. Informationen zum Konfigurieren von Berechtigungen auf der Ebene einer einzelnen DNS-Zone (oder Ressource) finden Sie unter Zone mit bestimmten IAM-Berechtigungen erstellen.
Berechtigungen und Rollen
Jede Cloud DNS API-Methode erfordert, dass der Aufrufer die erforderlichen IAM-Berechtigungen hat. Berechtigungen werden erteilt, wenn einem Nutzer, einer Gruppe oder einem Dienstkonto Rollen zugewiesen werden. Zusätzlich zu den grundlegenden Rollen „Inhaber“, „Bearbeiter“ und „Betrachter“ können Sie den Nutzern Ihres Projekts Cloud DNS API-Rollen zuweisen.
Berechtigungen
In der folgenden Tabelle werden die Berechtigungen aufgelistet, die der Anrufer haben muss, um die einzelnen Methoden aufzurufen.
Methode | Erforderliche Berechtigungen |
---|---|
dns.changes.create zum Erstellen eines Ressourcendatensatzes |
dns.changes.create und dns.resourceRecordSets.create für das Projekt, das den Datensatz enthält |
dns.changes.create zum Aktualisieren eines Ressourcendatensatzes |
dns.changes.create und dns.resourceRecordSets.update für das Projekt, das den Datensatz enthält |
dns.changes.create zum Löschen eines Ressourcendatensatzes |
dns.changes.create und dns.resourceRecordSets.delete für das Projekt, das den Datensatz enthält |
dns.changes.get |
dns.changes.get für das Projekt, das die verwaltete Zone enthält. |
dns.changes.list |
dns.changes.list für das Projekt, das die verwaltete Zone enthält. |
dns.dnsKeys.get |
dns.dnsKeys.get für das Projekt, das die verwaltete Zone enthält. |
dns.dnsKeys.list |
dns.dnsKeys.list für das Projekt, das die verwaltete Zone enthält. |
dns.managedZoneOperations.get |
dns.managedZoneOperations.get für das Projekt, das die verwaltete Zone enthält. |
dns.managedZoneOperations.list |
dns.managedZoneOperations.list für das Projekt, das die verwaltete Zone enthält. |
dns.managedZones.create |
dns.managedZones.create für das Projekt, das die verwaltete Zone enthält.Wenn Sie eine private Zone erstellen, benötigen Sie außerdem Wenn Sie eine private Zone mit GKE-Integration erstellen, müssen Sie außerdem |
dns.managedZones.delete |
dns.managedZones.delete für das Projekt, das die verwaltete Zone enthält. |
dns.managedZones.get |
dns.managedZones.get für das Projekt, das die verwaltete Zone enthält. |
dns.managedZones.list |
dns.managedZones.list für das Projekt, das die verwaltete Zone enthält. |
dns.managedZones.update |
dns.managedZones.update für das Projekt, das die verwaltete Zone enthält.Wenn Sie eine private Zone erstellen, benötigen Sie außerdem Wenn Sie eine private Zone mit GKE-Integration erstellen, müssen Sie außerdem |
dns.policies.create |
dns.policies.create für das Projekt, das die Richtlinie enthält.
Wenn die Richtlinie in einem VPC-Netzwerk erstellt wird, benötigen Sie außerdem |
dns.policies.delete |
dns.policies.delete für das Projekt, das die Richtlinie enthält. |
dns.policies.get |
dns.policies.get für das Projekt, das die Richtlinie enthält. |
dns.policies.list |
dns.policies.list für das Projekt, das die Richtlinie enthält. |
dns.policies.update |
dns.policies.update für das Projekt, das die Richtlinie enthält.
Wenn die Richtlinie in einem VPC-Netzwerk aktualisiert wird, benötigen Sie außerdem |
dns.projects.get |
dns.projects.get für das Projekt |
dns.resourceRecordSets.create |
dns.resourceRecordSets.create für das Projekt, das den Datensatz enthält. |
dns.resourceRecordSets.delete |
dns.resourceRecordSets.delete für das Projekt, das den Datensatz enthält. |
dns.resourceRecordSets.get |
dns.resourceRecordSets.get für das Projekt, das den Datensatz enthält. |
dns.resourceRecordSets.list |
dns.resourceRecordSets.list für das Projekt, das die verwaltete Zone enthält. |
dns.resourceRecordSets.update |
dns.resourceRecordSets.update und dns.changes.create für das Projekt, das den Datensatz enthält. |
dns.responsePolicies.create |
dns.responsePolicies.create für das Projekt, das die Antwortrichtlinie enthält.
Sie benötigen außerdem Wenn Sie eine Antwortrichtlinie erstellen möchten, die mit einem GKE-Cluster verknüpft ist, benötigen Sie |
dns.responsePolicies.delete |
dns.responsePolicies.delete für das Projekt, das die Antwortrichtlinie enthält. |
dns.responsePolicies.get |
dns.responsePolicies.get für das Projekt, das die Antwortrichtlinie enthält. |
dns.responsePolicies.list |
dns.responsePolicies.list für das Projekt |
dns.responsePolicies.update |
dns.responsePolicies.update für das Projekt, das die Antwortrichtlinie enthält.
Sie benötigen außerdem Wenn Sie eine Antwortrichtlinie erstellen möchten, die mit einem GKE-Cluster verknüpft ist, benötigen Sie |
dns.responsePolicyRules.create |
dns.responsePolicyRules.create für das Projekt, das die Antwortrichtlinienregel enthält. |
dns.responsePolicyRules.delete |
dns.responsePolicyRules.delete für das Projekt, das die Antwortrichtlinienregel enthält. |
dns.responsePolicyRules.get |
dns.responsePolicyRules.get für das Projekt, das die Antwortrichtlinienregel enthält. |
dns.responsePolicyRules.list |
dns.responsePolicyRules.list für das Projekt, das die Antwortrichtlinie enthält. |
dns.responsePolicyRules.update |
dns.responsePolicyRules.update für das Projekt, das die Antwortrichtlinienregel enthält. |
Rollen
In der folgenden Tabelle sind die Cloud DNS API-IAM-Rollen und die jeweiligen Berechtigungen der Rollen aufgeführt. Jede Berechtigung gilt für einen bestimmten Ressourcentyp.
Sie können auch einfache Rollen für DNS-Änderungen verwenden.
Role | Permissions |
---|---|
DNS Administrator( Provides read-write access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
DNS Peer( Access to target networks with DNS peering zones |
|
DNS Reader( Provides read-only access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
Zugriffssteuerung verwalten
Mit der Google Cloud Console können Sie die Zugriffssteuerung für Ihre Themen und Projekte verwalten.
So legen Sie Zugriffssteuerungen auf Projektebene fest:
Console
Öffnen Sie in der Google Cloud Console die Seite IAM.
Wählen Sie im oberen Drop-down-Menü Ihr Projekt aus.
Klicken Sie auf Add.
Geben Sie unter Neue Hauptkonten die E-Mail-Adresse eines neuen Hauptkontos ein.
Wählen Sie eine Rolle aus der Liste aus.
Klicken Sie auf Speichern.
Prüfen Sie, ob das Hauptkonto mit der Rolle aufgelistet wird, die Sie ihm zugewiesen haben.
Nächste Schritte
- Eine Einführung in Cloud DNS finden Sie unter Kurzanleitung: DNS-Einträge für einen Domainnamen mit Cloud DNS einrichten.
- Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.