Ruoli e autorizzazioni

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Google Cloud offre Identity and Access Management (IAM), che permette di concedere un accesso più granulare a determinate risorse Google Cloud e impedisce l'accesso indesiderato ad altre risorse. In questa pagina vengono descritti i ruoli dell'API Cloud DNS. Per una descrizione dettagliata di IAM, consulta la documentazione di Identity and Access Management.

IAM consente di adottare il principio di sicurezza del privilegio minimo in modo da concedere solo le autorizzazioni necessarie alle tue risorse.

IAM consente di controllare chi ha quali autorizzazioni per quali risorse impostando i criteri IAM. I criteri IAM concedono ruoli specifici a un utente, concedendo all'utente determinate autorizzazioni. Ad esempio, un utente specifico potrebbe dover creare e modificare le risorse di record DNS (Domain Name System). Quindi, assegna a quell'utente (chi) il ruolo /roles/dns.admin, che dispone delle autorizzazioni dns.changes.create e dns.resourceRecordSets.create, in modo che possa creare e aggiornare i set di record di risorse (quali). D'altra parte, un reparto di assistenza potrebbe avere bisogno di visualizzare solo i set di record di risorse esistenti, quindi ottiene un ruolo /roles/dns.reader.

Cloud DNS supporta le autorizzazioni IAM a livello di progetto e di singola zona DNS (disponibile in Anteprima). L'autorizzazione predefinita è a livello di progetto. Per configurare le autorizzazioni a livello di singola zona (o risorsa) DNS, consulta Creare una zona con autorizzazioni IAM specifiche.

Autorizzazioni e ruoli

Ogni metodo dell'API Cloud DNS richiede al chiamante di disporre delle autorizzazioni IAM necessarie. Le autorizzazioni vengono assegnate concedendo ruoli a un account utente, gruppo o servizio. Oltre ai ruoli di base Proprietario, Editor e Visualizzatore, puoi concedere ruoli API Cloud DNS agli utenti del progetto.

Autorizzazioni

Nella tabella seguente sono elencate le autorizzazioni che il chiamante deve chiamare ogni metodo.

Metodo Autorizzazioni obbligatorie
dns.changes.create per creare un set di record di risorse. dns.changes.create e dns.resourceRecordSets.create nel progetto contenente il set di record.
dns.changes.create per l'aggiornamento di un set di record di risorse. dns.changes.create e dns.resourceRecordSets.update nel progetto contenente il set di record.
dns.changes.create per eliminare un set di record di risorse. dns.changes.create e dns.resourceRecordSets.delete nel progetto contenente il set di record.
dns.changes.get dns.changes.get per il progetto contenente la zona gestita.
dns.changes.list dns.changes.list per il progetto contenente la zona gestita.
dns.dnsKeys.get dns.dnsKeys.get per il progetto contenente la zona gestita.
dns.dnsKeys.list dns.dnsKeys.list per il progetto contenente la zona gestita.
dns.managedZoneOperations.get dns.managedZoneOperations.get per il progetto contenente la zona gestita.
dns.managedZoneOperations.list dns.managedZoneOperations.list per il progetto contenente la zona gestita.
dns.managedZones.create dns.managedZones.create per il progetto contenente la zona gestita.

Se crei una zona privata, devi avere anche dns.networks.bindPrivateDNSZone e dns.networks.targetWithPeeringZone per ogni progetto contenente ogni rete VPC che autorizzi ad accedere alla zona.
dns.managedZones.delete dns.managedZones.delete per il progetto contenente la zona gestita.
dns.managedZones.get dns.managedZones.get per il progetto contenente la zona gestita.
dns.managedZones.list dns.managedZones.list per il progetto contenente la zona gestita.
dns.managedZones.update dns.managedZones.update per il progetto contenente la zona gestita.

Se crei una zona privata, devi avere anche dns.networks.bindPrivateDNSZone e dns.networks.targetWithPeeringZone per ogni progetto contenente ogni rete VPC che autorizzi ad accedere alla zona.
dns.policies.create dns.policies.create per il progetto contenente il criterio.

Se il criterio viene creato su una rete VPC, devi avere anche dns.networks.bindPrivateDNSPolicy per ogni progetto contenente ogni rete VPC.
dns.policies.delete dns.policies.delete per il progetto contenente il criterio.
dns.policies.get dns.policies.get per il progetto contenente il criterio.
dns.policies.list dns.policies.list per il progetto contenente il criterio.
dns.policies.update dns.policies.update per il progetto contenente il criterio.

Se il criterio viene aggiornato in modo che sia su una rete VPC, devi avere dns.networks.bindPrivateDNSPolicy anche per ogni progetto contenente ogni rete VPC.
dns.policies.update dns.policies.update per il progetto contenente il criterio.
dns.projects.get dns.projects.get per il progetto.
dns.resourceRecordSets.create dns.resourceRecordSets.create per il progetto contenente il set di record.
dns.resourceRecordSets.delete dns.resourceRecordSets.delete per il progetto contenente il set di record.
dns.resourceRecordSets.get dns.resourceRecordSets.get per il progetto contenente il set di record.
dns.resourceRecordSets.list dns.resourceRecordSets.list per il progetto contenente la zona gestita.
dns.resourceRecordSets.update dns.resourceRecordSets.update per il progetto contenente il set di record.
dns.responsePolicies.create dns.responsePolicies.create per il progetto contenente il criterio di risposta.

È necessario anche dns.networks.bindDNSResponsePolicy per convalidare la richiesta.
dns.responsePolicies.delete dns.responsePolicies.delete per il progetto contenente il criterio di risposta.
dns.responsePolicies.get dns.responsePolicies.get per il progetto contenente il criterio di risposta.
dns.responsePolicies.list dns.responsePolicies.list per il progetto.
dns.responsePolicies.update dns.responsePolicies.update per il progetto contenente il criterio di risposta.

È necessario anche dns.networks.bindDNSResponsePolicy per convalidare la richiesta.
dns.responsePolicyRules.create dns.responsePolicyRules.create per il progetto contenente la regola del criterio di risposta.
dns.responsePolicyRules.delete dns.responsePolicyRules.delete per il progetto contenente la regola del criterio di risposta.
dns.responsePolicyRules.get dns.responsePolicyRules.get per il progetto contenente la regola del criterio di risposta.
dns.responsePolicyRules.list dns.responsePolicyRules.list per il progetto contenente il criterio di risposta.
dns.responsePolicyRules.update dns.responsePolicyRules.update per il progetto contenente la regola del criterio di risposta.

Ruoli

La tabella riportata di seguito elenca i ruoli IAM dell'API Cloud DNS con un elenco corrispondente di tutte le autorizzazioni incluse in ciascun ruolo. Ogni autorizzazione è applicabile a un determinato tipo di risorsa.

Puoi anche utilizzare i ruoli di base per apportare modifiche al DNS.

Ruolo Autorizzazioni

(roles/dns.admin)

Fornisce l'accesso in lettura/scrittura a tutte le risorse Cloud DNS.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

compute.networks.get

compute.networks.list

dns.modifiche.*

  • dns.modifiche.create
  • dns.modifiche.get
  • dns.modifiche.elenco

dns.dnsKeys.*

  • dns.dnsKeys.get
  • dns.dnsKeys.list

dns.managedZoneOperations.*

  • dns.managedZoneOperations.get
  • dns.managedZoneOperations.list

dns.managedZones.create

dns.managedZones.delete

dns.managedZones.get

dns.managedZones.getIamPolicy

dns.managedZones.list

dns.managedZones.update

dns.networks.*

  • dns.reti.bindDNSResponsePolicy
  • dns.reti.bindPrivateDNSPolicy
  • dns.reti.bindPrivateDNSZone
  • dns.reti.targetWithPeeringZone

dns.policies.create

dns.policies.delete

dns.policies.get

dns.policies.getIamPolicy

dns.policies.list

dns.policies.update

dns.projects.get

dns.resourceRecordSets.*

  • dns.resourceRecordSets.create
  • dns.resourceRecordSets.delete
  • dns.resourceRecordSets.get
  • dns.resourceRecordSets.list
  • dns.resourceRecordSets.update

dns.responsePolicies.*

  • dns.responsePolicies.create
  • dns.responsePolicies.delete
  • dns.responsePolicies.get
  • dns.responsePolicies.list
  • dns.responsePolicies.update

dns.responsePolicyRegole.*

  • dns.responsePolicyPolicy.create
  • dns.responsePolicyRegole.delete
  • dns.responsePolicyRegole.get
  • dns.responsePolicyRegole.list
  • dns.responsePolicyRegole.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/dns.peer)

Accesso alle reti target per le zone con peering DNS.

dns.reti.targetWithPeeringZone

(roles/dns.reader)

Fornisce l'accesso in sola lettura a tutte le risorse Cloud DNS.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

compute.networks.get

dns.modifiche.get

dns.modifiche.elenco

dns.dnsKeys.*

  • dns.dnsKeys.get
  • dns.dnsKeys.list

dns.managedZoneOperations.*

  • dns.managedZoneOperations.get
  • dns.managedZoneOperations.list

dns.managedZones.get

dns.managedZones.list

dns.policies.get

dns.policies.list

dns.projects.get

dns.resourceRecordSets.get

dns.resourceRecordSets.list

dns.responsePolicies.get

dns.responsePolicies.list

dns.responsePolicyRegole.get

dns.responsePolicyRegole.list

resourcemanager.projects.get

resourcemanager.projects.list

Gestione del controllo dell'accesso

Puoi utilizzare Google Cloud Console per gestire il controllo dell'accesso per i tuoi argomenti e progetti.

Per impostare i controlli di accesso a livello di progetto, segui questi passaggi.

console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai alla pagina IAM

  2. Seleziona il progetto nel menu a discesa in alto.

  3. Fai clic su Aggiungi.

  4. In Nuove entità, inserisci l'indirizzo email di una nuova entità.

  5. Seleziona il ruolo desiderato dal menu a discesa.

  6. Fai clic su Salva.

  7. Verifica che l'entità sia elencata con il ruolo che hai concesso.

Passaggi successivi