Zugriffssteuerung

Google Cloud bietet mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) die Möglichkeit, bestimmten Google Cloud-Ressourcen detaillierte Zugriffsrechte zuzuweisen und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Auf dieser Seite werden die Cloud DNS API-Rollen beschrieben. Eine ausführliche Beschreibung von IAM finden Sie in der IAM-Dokumentation.

Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.

In IAM können Sie steuern, wer was für Berechtigungen für welche Ressourcen hat. Dazu legen Sie die IAM-Richtlinien fest. IAM-Richtlinien gewähren einem Nutzer bestimmte Rollen und dadurch bestimmte Berechtigungen. Beispielsweise muss ein bestimmter Nutzer möglicherweise DNS-Eintragsressourcen (Domain Name System) erstellen und ändern. Sie weisen dann diesem Nutzer (wer) die Rolle /roles/dns.admin zu, die die Berechtigungen dns.changes.create und dns.resourceRecordSets.create (was) hat, sodass er Ressourcendatensätze erstellen und aktualisieren kann (welche). Eine Supportabteilung hingegen muss eventuell die vorhandenen Ressourcendatensätze nur aufrufen und benötigt daher lediglich die Rolle /roles/dns.reader.

Berechtigungen und Rollen

Jede Cloud DNS API-Methode erfordert, dass der Aufrufer die erforderlichen IAM-Berechtigungen hat. Berechtigungen werden erteilt, wenn einem Nutzer, einer Gruppe oder einem Dienstkonto Rollen zugewiesen werden. Zusätzlich zu den grundlegenden Rollen „Inhaber“, „Bearbeiter“ und „Betrachter“ können Sie den Nutzern Ihres Projekts Cloud DNS API-Rollen zuweisen.

Berechtigungen

In der folgenden Tabelle werden die Berechtigungen aufgelistet, die der Anrufer haben muss, um die einzelnen Methoden aufzurufen.

Methode Erforderliche Berechtigungen
dns.changes.create zum Erstellen eines Ressourcendatensatzes dns.changes.create und dns.resourceRecordSets.create für das Projekt, das den Datensatz enthält
dns.changes.create zum Aktualisieren eines Ressourcendatensatzes dns.changes.create und dns.resourceRecordSets.update für das Projekt, das den Datensatz enthält
dns.changes.create zum Löschen eines Ressourcendatensatzes dns.changes.create und dns.resourceRecordSets.delete für das Projekt, das den Datensatz enthält
dns.changes.get dns.changes.get für das Projekt, das die verwaltete Zone enthält
dns.changes.list dns.changes.list für das Projekt, das die verwaltete Zone enthält
dns.dnsKeys.get dns.dnsKeys.get für das Projekt, das die verwaltete Zone enthält
dns.dnsKeys.list dns.dnsKeys.list für das Projekt, das die verwaltete Zone enthält
dns.managedZoneOperations.get dns.managedZoneOperations.get für das Projekt, das die verwaltete Zone enthält
dns.managedZoneOperations.list dns.managedZoneOperations.list für das Projekt, das die verwaltete Zone enthält
dns.managedZones.create dns.managedZones.create für das Projekt, das die verwaltete Zone enthält.

Wenn Sie eine private Zone erstellen, benötigen Sie außerdem dns.networks.bindPrivateDNSZone und dns.networks.targetWithPeeringZone für jedes Projekt, das ein VPC-Netzwerk enthält, das für das Zugreifen auf die Zone autorisiert wird.

dns.managedZones.delete dns.managedZones.delete für das Projekt, das die verwaltete Zone enthält
dns.managedZones.get dns.managedZones.get für das Projekt, das die verwaltete Zone enthält
dns.managedZones.list dns.managedZones.list für das Projekt, das die verwaltete Zone enthält.
dns.managedZones.update dns.managedZones.update für das Projekt, das die verwaltete Zone enthält.

Wenn Sie eine private Zone erstellen, benötigen Sie außerdem dns.networks.bindPrivateDNSZone und dns.networks.targetWithPeeringZone für jedes Projekt, das ein VPC-Netzwerk enthält, das für das Zugreifen auf die Zone autorisiert wird.

dns.policies.create dns.policies.create für das Projekt, das die Richtlinie enthält.

Wenn die Richtlinie in einem VPC-Netzwerk erstellt wird, benötigen Sie außerdem dns.networks.bindPrivateDNSPolicy für jedes Projekt, das ein VPC-Netzwerk enthält.

dns.policies.delete dns.policies.delete für das Projekt, das die Richtlinie enthält.
dns.policies.get dns.policies.get für das Projekt, das die Richtlinie enthält.
dns.policies.list dns.policies.list für das Projekt, das die Richtlinie enthält.
dns.policies.update dns.policies.update für das Projekt, das die Richtlinie enthält.

Wenn die Richtlinie in einem VPC-Netzwerk aktualisiert wird, benötigen Sie außerdem dns.networks.bindPrivateDNSPolicy für jedes Projekt, das ein VPC-Netzwerk enthält.

dns.policies.patch dns.policies.patch für das Projekt, das die Richtlinie enthält.
dns.projects.get dns.projects.get für das Projekt.
dns.resourceRecordSets.list dns.resourceRecordSets.list für das Projekt, das die verwaltete Zone enthält.

Rollen

In der folgenden Tabelle sind die Cloud DNS API-IAM-Rollen und die jeweiligen Berechtigungen der Rollen aufgeführt. Jede Berechtigung gilt für einen bestimmten Ressourcentyp.

Sie können auch einfache Rollen für DNS-Änderungen verwenden.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/dns.admin DNS-Administrator Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen
  • compute.networks.get
  • compute.networks.list
  • dns.changes.*
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.*
  • dns.networks.*
  • dns.policies.create
  • dns.policies.delete
  • dns.policies.get
  • dns.policies.list
  • dns.policies.update
  • dns.projects.*
  • dns.resourceRecordSets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/dns.peer DNS-Peer Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen
  • dns.networks.targetWithPeeringZone
roles/dns.reader DNS-Leser Lesezugriff auf alle Cloud DNS-Ressourcen
  • compute.networks.get
  • dns.changes.get
  • dns.changes.list
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.policies.get
  • dns.policies.list
  • dns.projects.*
  • dns.resourceRecordSets.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Zugriffssteuerung verwalten

Mit der Google Cloud Console können Sie die Zugriffssteuerung für Ihre Themen und Projekte verwalten.

So legen Sie Zugriffssteuerungen auf Projektebene fest:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Zur IAM-Seite

  2. Wählen Sie im oberen Drop-down-Menü Ihr Projekt aus.

  3. Klicken Sie auf Hinzufügen.

  4. Geben Sie die E-Mail-Adresse eines neuen Mitglieds unter Neue Mitglieder ein.

  5. Wählen Sie die gewünschte Rolle im Drop-down-Menü aus.

  6. Klicken Sie auf Speichern.

  7. Prüfen Sie, ob das Mitglied mit der Rolle aufgelistet wird, die Sie ihm zugewiesen haben.

Weitere Informationen

  • Eine Einführung in Cloud DNS finden Sie im Schnellstart.
  • Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.