O Google Cloud oferece o gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos os papéis da API Cloud DNS. Para uma descrição detalhada do IAM, consulte a documentação do gerenciamento de identidade e acesso.
Com o IAM, é possível adotar o princípio de segurança de privilégio mínimo para conceder apenas o acesso necessário aos recursos.
O IAM permite que você defina políticas para controlar quem tem quais permissões em que recursos. As políticas do IAM concedem papéis específicos a um usuário, que recebe determinadas permissões. Por exemplo, um determinado usuário pode precisar criar e modificar recursos de registro do Sistema de Nome de Domínio (DNS). Então, você concederia ao usuário (quem) o papel /roles/dns.admin, que tem as permissões dns.changes.create e dns.resourceRecordSets.create (quais) para que ele possa criar e atualizar conjuntos de registros de recurso (que). Por outro lado, um departamento de suporte pode precisar apenas visualizar conjuntos de registros de recurso existentes. Para isso, seria concedido apenas o papel /roles/dns.reader.
Permissões e papéis
Todos os métodos da API Cloud DNS exigem que o autor da chamada tenha as devidas permissões do IAM. As permissões são atribuídas por meio da atribuição de papéis a um usuário, grupo ou conta de serviço. Além dos papéis básicos de proprietário, editor e visualizador, é possível atribuir papéis da API Cloud DNS aos usuários do projeto.
Permissões
A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método.
| Método | Permissões necessárias |
|---|---|
dns.changes.create para criar um conjunto de registros de recurso. |
dns.changes.create e dns.resourceRecordSets.create no projeto que contém o conjunto de registros. |
dns.changes.create para atualizar um conjunto de registros de recurso. |
dns.changes.create e dns.resourceRecordSets.update no projeto que contém o conjunto de registros. |
dns.changes.create para excluir um conjunto de registros de recurso. |
dns.changes.create e dns.resourceRecordSets.delete no projeto que contém o conjunto de registros. |
dns.changes.get |
dns.changes.get para o projeto que contém a zona gerenciada. |
dns.changes.list |
dns.changes.list para o projeto que contém a zona gerenciada. |
dns.dnsKeys.get |
dns.dnsKeys.get para o projeto que contém a zona gerenciada. |
dns.dnsKeys.list |
dns.dnsKeys.list para o projeto que contém a zona gerenciada. |
dns.managedZoneOperations.get |
dns.managedZoneOperations.get para o projeto que contém a zona gerenciada. |
dns.managedZoneOperations.list |
dns.managedZoneOperations.list para o projeto que contém a zona gerenciada. |
dns.managedZones.create |
dns.managedZones.create para o projeto que contém a zona gerenciada.Ao criar uma zona particular, você também precisará de |
dns.managedZones.delete |
dns.managedZones.delete para o projeto que contém a zona gerenciada. |
dns.managedZones.get |
dns.managedZones.get para o projeto que contém a zona gerenciada. |
dns.managedZones.list |
dns.managedZones.list para o projeto que contém a zona gerenciada. |
dns.managedZones.update |
dns.managedZones.update para o projeto que contém a zona gerenciada.Ao criar uma zona particular, você também precisará de |
dns.policies.create |
dns.policies.create para o projeto que contém a política.
Se a política for criada em uma rede VPC, você também precisará de |
dns.policies.delete |
dns.policies.delete para o projeto que contém a política. |
dns.policies.get |
dns.policies.get para o projeto que contém a política. |
dns.policies.list |
dns.policies.list para o projeto que contém a política. |
dns.policies.update |
dns.policies.update para o projeto que contém a política.
Se a política for atualizada para estar em uma rede VPC, você também precisará de |
dns.policies.patch |
dns.policies.patch para o projeto que contém a política. |
dns.projects.get |
dns.projects.get para o projeto |
dns.resourceRecordSets.list |
dns.resourceRecordSets.list para o projeto que contém a zona gerenciada. |
Papéis
Veja na tabela abaixo os papéis do IAM da API Cloud DNS com uma lista correspondente de todas as permissões incluídas em cada um. Cada permissão se aplica a um tipo específico de recurso.
Também é possível usar papéis básicos para fazer alterações de DNS.
| Papel | Nome | Descrição | Permissões | Menor recurso |
|---|---|---|---|---|
roles/ |
Administrador do DNS | Dá acesso de leitura e gravação a todos os recursos do Cloud DNS. |
|
Projeto |
roles/ |
Par do DNS | Acesso às redes de destino com zonas DNS de peering |
|
|
roles/ |
Leitor do DNS | Dá acesso somente leitura a todos os recursos do Cloud DNS. |
|
Projeto |
Gerenciamento do controle de acesso
É possível usar o Console do Google Cloud para gerenciar o controle de acesso dos seus tópicos e projetos.
Para definir os controles de acesso para envolvidos no projeto, siga estas etapas.
Console
No Console do Google Cloud, abra a página IAM.
Selecione seu projeto no menu suspenso na parte superior.
Clique em Adicionar.
Em Novos membros, digite o endereço de e-mail de um novo membro.
Selecione o papel desejado no menu suspenso.
Clique em Salvar.
Verifique se o membro está listado com o papel concedido.
A seguir
- Para começar a usar o Cloud DNS, consulte o Início rápido.
- Para achar soluções de problemas comuns que podem ser encontrados ao usar o Cloud DNS, consulte Solução de problemas.