Définir et gérer des stratégies IAM pour les zones gérées

Cette page explique comment configurer des autorisations IAM (Identity and Access Management) spécifiques de lecture, d'écriture ou d'administration, pour les différentes zones gérées d'un même projet.

Pour en savoir plus sur les stratégies IAM, consultez la page Comprendre les stratégies d'autorisation. Pour en savoir plus sur l'API IAM Policy, consultez la section Policy. Pour en savoir plus sur la création de rôles personnalisés IAM que vous pouvez utiliser sur vos zones gérées, consultez la section Comprendre les rôles personnalisés d'IAM.

Dans cette procédure, nous partons du principe que vous avez créé une zone gérée dans un projet. Pour obtenir des instructions sur la création d'une zone gérée, consultez la section Créer, modifier et supprimer des zones.

Définir une stratégie IAM pour une zone gérée

Pour définir la stratégie IAM sur une zone gérée spécifique, procédez comme suit.

Console

  1. Dans Google Cloud Console, accédez à la page Zones Cloud DNS.

    Accéder aux zones Cloud DNS

  2. Sélectionnez une ou plusieurs zones pour lesquelles vous souhaitez ajouter des autorisations de contrôle des accès.

  3. Sur la page Permissions to resources (Autorisations sur les ressources), cliquez sur Add principal (Ajouter un compte principal).

  4. Sur la page Grant access to resource (Accorder l'accès aux ressources), sous Nouveaux comptes principaux, ajoutez l'adresse e-mail de l'utilisateur, groupe, domaine ou compte de service que vous souhaitez ajouter en tant que nouveau compte principal.

  5. Dans la liste Attribuer des rôles, sélectionnez le rôle que vous voulez attribuer au compte principal.

  6. Pour attribuer d'autres rôles, cliquez sur Ajouter un autre rôle.

  7. Cliquez sur Enregistrer.

gcloud

Exécutez la commande gcloud dns managed-zones set-iam-policy :

gcloud dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

Remplacez les éléments suivants :

  • NAME : nom de la zone gérée pour laquelle vous souhaitez définir l'autorisation IAM.
  • POLICY-FILE : fichier contenant la stratégie IAM que vous souhaitez spécifier pour la zone gérée. Pour obtenir un exemple de fichier de stratégie, consultez la section Policy.

Si cette commande aboutit, elle renvoie la stratégie IAM. Sinon, elle renvoie un message d'erreur spécifiant l'erreur.

API

Envoyez une requête POST à l'aide de la méthode managedZone.setIamPolicy :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

Remplacez les éléments suivants :

  • PROJECT_ID : nom ou ID du projet.
  • MANAGED_ZONE : nom de la zone gérée pour laquelle vous souhaitez définir l'autorisation IAM.

Pour en savoir plus sur cet appel d'API, consultez la section Binding dans la page décrivant l'API IAM Policy.

Obtenir la stratégie IAM d'une zone gérée

Pour obtenir la stratégie IAM d'une zone gérée spécifique, procédez comme suit.

gcloud

Exécutez la commande gcloud dns managed-zones get-iam-policy :

gcloud dns managed-zones get-iam-policy NAME

Remplacez NAME par le nom de la zone gérée pour laquelle vous souhaitez obtenir la stratégie IAM.

Si cette commande aboutit, elle renvoie la stratégie IAM. Sinon, elle renvoie un message d'erreur spécifiant l'erreur.

API

Envoyez une requête POST à l'aide de la méthode managedZone.getIamPolicy :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy

Remplacez les éléments suivants :

  • PROJECT_ID : nom ou ID du projet.
  • MANAGED_ZONE : nom de la zone gérée pour laquelle vous souhaitez définir l'autorisation IAM

Vérifier les autorisations IAM pour une zone gérée

Envoyez une requête POST à l'aide de la méthode managedZone.testIamPermissions :

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions

Remplacez les éléments suivants :

  • PROJECT_ID : nom ou ID du projet
  • MANAGED_ZONE : nom de la zone gérée pour laquelle vous souhaitez vérifier l'autorisation IAM

Étapes suivantes