Google Cloud ofrece Gestión de Identidades y Accesos (IAM), que te permite dar un acceso más granular a recursos específicos Google Cloud e impide el acceso no deseado a otros recursos. En esta página se describen los roles de la API Cloud DNS. Para obtener una descripción detallada de IAM, consulta la documentación sobre la gestión de identidades y accesos.
IAM te permite adoptar el principio de seguridad de mínimos accesos para que solo concedas el acceso necesario a tus recursos.
La gestión de identidades y accesos te permite controlar quién tiene qué permisos para qué recursos mediante la configuración de políticas de gestión de identidades y accesos. Las políticas de gestión de identidades y accesos
asignan roles específicos a un usuario, lo que le otorga determinados permisos. Por ejemplo, un usuario concreto puede necesitar crear y modificar recursos de registros del sistema de nombres de dominio (DNS). A continuación, le asignarías a ese usuario (quién) el rol /roles/dns.admin, que tiene los permisos dns.changes.create y dns.resourceRecordSets.create (qué) para que pueda crear y actualizar conjuntos de registros de recursos (cuál). Por el contrario, un departamento de asistencia solo podría necesitar ver los conjuntos de registros de recursos, por lo que se le asignaría el rol /roles/dns.reader.
Cloud DNS admite permisos de IAM a nivel de proyecto y a nivel de zona DNS individual. El permiso predeterminado es a nivel de proyecto. Para configurar permisos a nivel de zona DNS (o recurso), consulta Crear una zona con permisos de gestión de identidades y accesos específicos.
Permisos y roles
Todos los métodos de la API Cloud DNS requieren que el llamador cuente con los permisos de IAM necesarios. Los permisos se asignan concediendo roles a un usuario, un grupo o una cuenta de servicio. Además de los roles básicos de propietario, editor y lector, puedes asignar roles de la API Cloud DNS a los usuarios de tu proyecto.
Permisos
En la siguiente tabla se indican los permisos que debe tener el llamante para invocar cada método.
| Método | Permisos necesarios |
|---|---|
dns.changes.create
para crear un conjunto de registros de recursos. |
dns.changes.create y dns.resourceRecordSets.create
en el proyecto que contiene el conjunto de registros. |
dns.changes.create
para actualizar un conjunto de registros de recursos. |
dns.changes.create y dns.resourceRecordSets.update
en el proyecto que contiene el conjunto de registros. |
dns.changes.create
para eliminar un conjunto de registros de recursos. |
dns.changes.create y dns.resourceRecordSets.delete
en el proyecto que contiene el conjunto de registros. |
dns.changes.get |
dns.changes.get en el proyecto que contiene la zona gestionada. |
dns.changes.list |
dns.changes.list en el proyecto que contiene la zona gestionada. |
dns.dnsKeys.get |
dns.dnsKeys.get en el proyecto que contiene la zona gestionada. |
dns.dnsKeys.list |
dns.dnsKeys.list en el proyecto que contiene la zona gestionada. |
dns.managedZoneOperations.get |
dns.managedZoneOperations.get en el proyecto que contiene la zona gestionada. |
dns.managedZoneOperations.list |
dns.managedZoneOperations.list en el proyecto que contiene la zona gestionada. |
dns.managedZones.create |
dns.managedZones.create en el proyecto que contiene la zona gestionada.Si creas una zona privada, también necesitas Si vas a crear una zona privada con integración de GKE, también debes configurar un permiso de clúster de GKE en |
dns.managedZones.delete |
dns.managedZones.delete en el proyecto que contiene la zona gestionada. |
dns.managedZones.get |
dns.managedZones.get en el proyecto que contiene la zona gestionada. |
dns.managedZones.list |
dns.managedZones.list en el proyecto que contiene la zona gestionada. |
dns.managedZones.update |
dns.managedZones.update en el proyecto que contiene la zona gestionada.Si creas una zona privada, también necesitas Si vas a crear una zona privada con integración de GKE, también debes configurar un permiso de clúster de GKE en |
dns.policies.create |
dns.policies.create en el proyecto que contiene la política.
Si la política se crea en una red de VPC, también necesitas |
dns.policies.delete |
dns.policies.delete en el proyecto que contiene la política. |
dns.policies.get |
dns.policies.get en el proyecto que contiene la política. |
dns.policies.list |
dns.policies.list en el proyecto que contiene la política. |
dns.policies.update |
dns.policies.update en el proyecto que contiene la política.
Si la política se actualiza para que esté en una red de VPC, también necesitará |
dns.projects.get |
dns.projects.get en el proyecto. |
dns.resourceRecordSets.create |
dns.resourceRecordSets.create en el proyecto que contiene el conjunto de registros. |
dns.resourceRecordSets.delete |
dns.resourceRecordSets.delete en el proyecto que contiene el conjunto de registros. |
dns.resourceRecordSets.get |
dns.resourceRecordSets.get en el proyecto que contiene el conjunto de registros. |
dns.resourceRecordSets.list |
dns.resourceRecordSets.list en el proyecto que contiene la zona gestionada. |
dns.resourceRecordSets.update |
dns.resourceRecordSets.update y dns.changes.create en el proyecto que contiene el conjunto de registros. |
dns.responsePolicies.create |
dns.responsePolicies.create en el proyecto que contiene la
política de respuesta.
También debes
Si quieres crear una política de respuesta asociada a un clúster de GKE, necesitas lo siguiente:
|
dns.responsePolicies.delete |
dns.responsePolicies.delete en el proyecto que contiene la
política de respuesta. |
dns.responsePolicies.get |
dns.responsePolicies.get en el proyecto que contiene la
política de respuesta. |
dns.responsePolicies.list |
dns.responsePolicies.list en el proyecto. |
dns.responsePolicies.update |
dns.responsePolicies.update en el proyecto que contiene la
política de respuesta.
También debes
Si quieres crear una política de respuesta asociada a un clúster de GKE, necesitas lo siguiente:
|
dns.responsePolicyRules.create |
dns.responsePolicyRules.create en el proyecto que contiene la regla de política de respuesta. |
dns.responsePolicyRules.delete |
dns.responsePolicyRules.delete en el proyecto que contiene la regla de política de respuesta. |
dns.responsePolicyRules.get |
dns.responsePolicyRules.get en el proyecto que contiene la regla de política de respuesta. |
dns.responsePolicyRules.list |
dns.responsePolicyRules.list en el proyecto que contiene la
política de respuesta. |
dns.responsePolicyRules.update |
dns.responsePolicyRules.update en el proyecto que contiene la regla de política de respuesta. |
Roles
En la siguiente tabla se indican los roles de gestión de identidades y accesos de la API Cloud DNS, así como una lista de todos los permisos que incluye cada rol. Cada permiso se aplica a un tipo de recurso concreto.
También puedes usar roles básicos para hacer cambios en el DNS.
| Role | Permissions |
|---|---|
DNS Administrator( Provides read-write access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
DNS Peer( Access to target networks with DNS peering zones |
|
DNS Reader( Provides read-only access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
Cloud DNS Service Agent( Gives Cloud DNS Service Agent access to Cloud Platform resources. |
|
Gestionar control de acceso
Puedes usar la consola Google Cloud para gestionar el control de acceso de tus temas y proyectos.
Para definir controles de acceso a nivel de proyecto, sigue estos pasos.
Consola
En la consola, ve a la página IAM. Google Cloud
Selecciona tu proyecto en el menú desplegable de la parte superior.
Haz clic en Añadir.
En Principales nuevas, introduce la dirección de correo de un nuevo principal.
Selecciona un rol de la lista.
Haz clic en Guardar.
Comprueba que el principal aparece con el rol que le has concedido.
Siguientes pasos
- Para empezar a usar Cloud DNS, consulta el artículo Guía de inicio rápido: Configurar registros DNS para un nombre de dominio con Cloud DNS.
- Para encontrar soluciones a problemas habituales que pueden surgir al usar Cloud DNS, consulta la sección Solución de problemas.