Zugriffssteuerung

Die Google Cloud Platform bietet eine Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), mit der Sie den Zugriff auf bestimmte Google Cloud Platform-Ressourcen noch genauer steuern können. Außerdem wird der unerwünschte Zugriff auf andere Ressourcen verhindert. Auf dieser Seite werden die Cloud DNS API-Rollen beschrieben. Eine ausführliche Erläuterung von Cloud IAM finden Sie in der IAM-Dokumentation.

IAM bietet die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

In IAM können Sie steuern, wer was für Berechtigungen für welche Ressourcen hat. Dazu legen Sie die IAM-Richtlinien fest. IAM-Richtlinien gewähren einem Nutzer bestimmte Rollen und dadurch bestimmte Berechtigungen. Beispielsweise muss ein bestimmter Nutzer möglicherweise DNS-Eintragsressourcen erstellen und ändern. Sie weisen dann diesem Nutzer (wer) die Rolle /roles/dns.admin zu, die die Berechtigungen dns.changes.create und dns.resourceRecordSets.create (was) hat, sodass er Ressourcendatensätze erstellen und aktualisieren kann (welche). Eine Supportabteilung hingegen muss eventuell die vorhandenen Ressourcendatensätze nur aufrufen und benötigt daher lediglich die Rolle /roles/dns.reader.

Berechtigungen und Rollen

Jede Cloud DNS API-Methode erfordert, dass der Aufrufer die erforderlichen IAM-Berechtigungen hat. Berechtigungen werden erteilt, wenn einem Nutzer, einer Gruppe oder einem Dienstkonto Rollen zugewiesen werden. Zusätzlich zu den einfachen Rollen "Inhaber", "Bearbeiter" und "Betrachter" können Sie den Nutzern Ihres Projekts Cloud DNS API-Rollen zuweisen.

Berechtigungen

In der folgenden Tabelle werden die Berechtigungen aufgelistet, die der Anrufer haben muss, um die einzelnen Methoden aufzurufen:

Methode Erforderliche Berechtigungen
dns.changes.create zum Erstellen eines Ressourcendatensatzes dns.changes.create und dns.resourceRecordSets.create für das Projekt, das den Datensatz enthält
dns.changes.create zum Aktualisieren eines Ressourcendatensatzes dns.changes.create und dns.resourceRecordSets.update für das Projekt, das den Datensatz enthält
dns.changes.create zum Löschen eines Ressourcendatensatzes dns.changes.create und dns.resourceRecordSets.delete für das Projekt, das den Datensatz enthält
dns.changes.get dns.changes.get für das Projekt, das die verwaltete Zone enthält
dns.changes.list dns.changes.list für das Projekt, das die verwaltete Zone enthält
dns.dnsKeys.get dns.dnsKeys.get für das Projekt, das die verwaltete Zone enthält
dns.dnsKeys.list dns.dnsKeys.list für das Projekt, das die verwaltete Zone enthält
dns.managedZoneOperations.get dns.managedZoneOperations.get für das Projekt, das die verwaltete Zone enthält
dns.managedZoneOperations.list dns.managedZoneOperations.list für das Projekt, das die verwaltete Zone enthält
dns.managedZones.create dns.managedZones.create für das Projekt, das die verwaltete Zone enthält. Wenn Sie eine private Zone erstellen, benötigen Sie außerdem dns.networks.bindPrivateDNSZone und dns.networks.targetWithPeeringZone für jedes Projekt, das ein VPC-Netzwerk enthält, das für das Zugreifen auf die Zone autorisiert wird.
dns.managedZones.delete dns.managedZones.delete für das Projekt, das die verwaltete Zone enthält
dns.managedZones.get dns.managedZones.get für das Projekt, das die verwaltete Zone enthält
dns.managedZones.list dns.managedZones.list für das Projekt, das die verwaltete Zone enthält
dns.managedZones.update dns.managedZones.update für das Projekt, das die verwaltete Zone enthält. Wenn Sie eine private Zone erstellen, benötigen Sie außerdem dns.networks.bindPrivateDNSZone und dns.networks.targetWithPeeringZone für jedes Projekt, das ein VPC-Netzwerk enthält, das für das Zugreifen auf die Zone autorisiert wird.
dns.policies.create dns.policies.create für das Projekt, das die Richtlinie enthält. Wenn die Richtlinie in einem VPC-Netzwerk erstellt wird, benötigen Sie außerdem dns.networks.bindPrivateDNSPolicy für jedes Projekt, das ein VPC-Netzwerk enthält.
dns.policies.delete dns.policies.delete für das Projekt, das die Richtlinie enthält
dns.policies.get dns.policies.get für das Projekt, das die Richtlinie enthält
dns.policies.list dns.policies.list für das Projekt, das die Richtlinie enthält
dns.policies.update dns.policies.update für das Projekt, das die Richtlinie enthält. Wenn die Richtlinie in einem VPC-Netzwerk aktualisiert wird, benötigen Sie außerdem dns.networks.bindPrivateDNSPolicy für jedes Projekt, das ein VPC-Netzwerk enthält.
dns.policies.patch dns.policies.patch für das Projekt, das die Richtlinie enthält
dns.projects.get dns.projects.get für das Projekt
dns.resourceRecordSets.list dns.resourceRecordSets.list für das Projekt, das die verwaltete Zone enthält

Rollen

In der folgenden Tabelle sind die Cloud DNS API-IAM-Rollen und die jeweiligen Berechtigungen der Rollen aufgeführt. Beachten Sie, dass jede Berechtigung für einen bestimmten Ressourcentyp gilt.

DNS-Änderungen können auch mithilfe von einfachen Rollen vorgenommen werden.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/dns.admin DNS-Administrator Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen
  • compute.networks.get
  • compute.networks.list
  • dns.changes.*
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.*
  • dns.networks.*
  • dns.policies.create
  • dns.policies.delete
  • dns.policies.get
  • dns.policies.list
  • dns.policies.update
  • dns.projects.*
  • dns.resourceRecordSets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/dns.peer DNS-Peer Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen
  • dns.networks.targetWithPeeringZone
roles/dns.reader DNS-Leser Lesezugriff auf alle Cloud DNS-Ressourcen
  • compute.networks.get
  • dns.changes.get
  • dns.changes.list
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.policies.get
  • dns.policies.list
  • dns.projects.*
  • dns.resourceRecordSets.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Zugriffssteuerung über die Cloud Console

Mit der Cloud Console können Sie die Zugriffssteuerung für Ihre Themen und Projekte verwalten.

So legen Sie die Zugriffssteuerung auf Projektebene fest:

  1. Rufen Sie in der Google Cloud Console die Seite "IAM" auf.
  2. Wählen Sie im oberen Drop-down-Menü Ihr Projekt aus.
  3. Klicken Sie auf Hinzufügen.
  4. Geben Sie die E-Mail-Adresse für ein neues Mitglied ein.
  5. Wählen Sie die gewünschte Rolle im Drop-down-Menü aus.
  6. Klicken Sie auf Hinzufügen.
  7. Überprüfen Sie, ob das Mitglied mit der Rolle aufgelistet wird, die Sie ihm zugewiesen haben.

Weitere Informationen