Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere un accesso più granulare a risorse Google Cloud specifiche e di impedire l'accesso indesiderato ad altre risorse. Questa pagina descrive i ruoli dell'API Cloud DNS. Per una descrizione dettagliata di IAM, consulta la documentazione di Identity and Access Management.
IAM ti consente di adottare il principio di sicurezza del privilegio minimo in modo da concedere solo il livello di accesso necessario per le tue risorse.
IAM consente di controllare chi dispone di quali autorizzazioni per quali
risorse impostando i criteri IAM. I criteri IAM grantono ruoli specifici a un utente, assegnandogli determinate autorizzazioni. Ad esempio, un determinato utente potrebbe dover creare e modificare le risorse dei record DNS (Domain Name System). A questo utente (who) assegnerai il ruolo /roles/dns.admin
, che dispone delle autorizzazioni dns.changes.create
e dns.resourceRecordSets.create
(what) per consentirgli di creare e aggiornare i set di record di risorse (which). Al contrario, un reparto di assistenza potrebbe dover solo visualizzare i set di record di risorse esistenti, quindi riceverà un ruolo /roles/dns.reader
.
Cloud DNS supporta le autorizzazioni IAM a livello di progetto e a livello di singola zona DNS. L'autorizzazione predefinita è a livello di progetto. Per configurare le autorizzazioni a livello di singola zona DNS (o risorsa), consulta Creare una zona con autorizzazioni IAM specifiche.
Autorizzazioni e ruoli
Ogni metodo dell'API Cloud DNS prevede che chi effettua la chiamata debba disporre delle autorizzazioni IAM necessarie. Le autorizzazioni vengono assegnate concedendo i ruoli a un utente, un gruppo o un account di servizio. Oltre ai ruoli di base Proprietario, Editor e Visualizzatore, puoi concedere i ruoli dell'API Cloud DNS agli utenti del tuo progetto.
Autorizzazioni
La tabella seguente elenca le autorizzazioni di cui deve disporre l'utente che chiama per chiamare ciascun metodo.
Metodo | Autorizzazioni obbligatorie |
---|---|
dns.changes.create
per creare un set di record di risorse. |
dns.changes.create e dns.resourceRecordSets.create
nel progetto contenente il set di record. |
dns.changes.create
per aggiornare un set di record di risorse. |
dns.changes.create e dns.resourceRecordSets.update
nel progetto contenente il set di record. |
dns.changes.create
per eliminare un set di record di risorse. |
dns.changes.create e dns.resourceRecordSets.delete
nel progetto contenente il set di record. |
dns.changes.get |
dns.changes.get nel progetto contenente la zona gestita. |
dns.changes.list |
dns.changes.list nel progetto contenente la zona gestita. |
dns.dnsKeys.get |
dns.dnsKeys.get nel progetto contenente la zona gestita. |
dns.dnsKeys.list |
dns.dnsKeys.list nel progetto contenente la zona gestita. |
dns.managedZoneOperations.get |
dns.managedZoneOperations.get nel progetto contenente la zona gestita. |
dns.managedZoneOperations.list |
dns.managedZoneOperations.list nel progetto contenente la zona gestita. |
dns.managedZones.create |
dns.managedZones.create nel progetto contenente la
zona gestita.Se stai creando una zona privata, devi anche avere Se stai creando una zona privata con integrazione GKE,
devi anche |
dns.managedZones.delete |
dns.managedZones.delete nel progetto contenente la zona gestita. |
dns.managedZones.get |
dns.managedZones.get nel progetto contenente la zona gestita. |
dns.managedZones.list |
dns.managedZones.list nel progetto contenente la
zona gestita. |
dns.managedZones.update |
dns.managedZones.update nel progetto contenente la
zona gestita.Se stai creando una zona privata, devi anche avere Se stai creando una zona privata con integrazione GKE,
devi anche |
dns.policies.create |
dns.policies.create nel progetto contenente il criterio.
Se il criterio viene creato in una rete VPC, devi anche avere |
dns.policies.delete |
dns.policies.delete nel progetto contenente il criterio. |
dns.policies.get |
dns.policies.get nel progetto contenente il criterio. |
dns.policies.list |
dns.policies.list nel progetto contenente il criterio. |
dns.policies.update |
dns.policies.update nel progetto contenente il criterio.
Se il criterio viene aggiornato in modo da essere in una rete VPC, devi anche avere |
dns.projects.get |
dns.projects.get sul progetto. |
dns.resourceRecordSets.create |
dns.resourceRecordSets.create nel progetto contenente il set di record. |
dns.resourceRecordSets.delete |
dns.resourceRecordSets.delete nel progetto contenente il set di record. |
dns.resourceRecordSets.get |
dns.resourceRecordSets.get nel progetto contenente il set di record. |
dns.resourceRecordSets.list |
dns.resourceRecordSets.list nel progetto contenente la
zona gestita. |
dns.resourceRecordSets.update |
dns.resourceRecordSets.update e dns.changes.create nel progetto contenente il set di record. |
dns.responsePolicies.create |
dns.responsePolicies.create nel progetto contenente il
criterio di risposta.
Inoltre, hai bisogno di
Se vuoi creare un criterio di risposta associato a un cluster GKE, devi
|
dns.responsePolicies.delete |
dns.responsePolicies.delete nel progetto contenente il
criterio di risposta. |
dns.responsePolicies.get |
dns.responsePolicies.get nel progetto contenente il
criterio di risposta. |
dns.responsePolicies.list |
dns.responsePolicies.list sul progetto. |
dns.responsePolicies.update |
dns.responsePolicies.update nel progetto contenente il
criterio di risposta.
Inoltre, hai bisogno di
Se vuoi creare un criterio di risposta associato a un cluster GKE, devi avere
|
dns.responsePolicyRules.create |
dns.responsePolicyRules.create nel progetto contenente la
regola del criterio di risposta. |
dns.responsePolicyRules.delete |
dns.responsePolicyRules.delete nel progetto contenente la
regola del criterio di risposta. |
dns.responsePolicyRules.get |
dns.responsePolicyRules.get nel progetto contenente la
regola del criterio di risposta. |
dns.responsePolicyRules.list |
dns.responsePolicyRules.list nel progetto contenente il
criterio di risposta. |
dns.responsePolicyRules.update |
dns.responsePolicyRules.update nel progetto contenente la
regola del criterio di risposta. |
Ruoli
La tabella seguente elenca i ruoli IAM dell'API Cloud DNS con un elenco corrispondente di tutte le autorizzazioni incluse in ciascun ruolo. Ogni autorizzazione è applicabile a un determinato tipo di risorsa.
Puoi anche utilizzare i ruoli di base per apportare modifiche al DNS.
Role | Permissions |
---|---|
DNS Administrator( Provides read-write access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
DNS Peer( Access to target networks with DNS peering zones |
|
DNS Reader( Provides read-only access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
Gestione del controllo dell'accesso
Puoi utilizzare la console Google Cloud per gestire controllo dell'accesso per i tuoi argomenti e progetti.
Per impostare i controlli di accesso a livello di progetto, segui questi passaggi.
Console
Nella console Google Cloud, vai alla pagina IAM.
Seleziona il tuo progetto dal menu a discesa in alto.
Fai clic su Aggiungi.
In Nuove entità, inserisci l'indirizzo email di una nuova entità.
Seleziona un ruolo dall'elenco.
Fai clic su Salva.
Verifica che l'entità sia elencata con il ruolo che hai concesso.
Passaggi successivi
- Per iniziare a utilizzare Cloud DNS, consulta Guida rapida: configura i record DNS per un nome di dominio con Cloud DNS.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la sezione Risoluzione dei problemi.