IAM-Richtlinien für verwaltete Zonen festlegen und verwalten

Auf dieser Seite wird beschrieben, wie Sie bestimmte Lese-, Schreib- oder Administratorberechtigungen (Identity and Access Management, IAM) für verschiedene verwaltete Zonen unter demselben Projekt einrichten.

Ausführliche Informationen zu IAM-Richtlinien finden Sie unter Informationen zu Richtlinien für Zulassungen. Informationen zur IAM Policy API finden Sie unter Policy. Wenn Sie mehr darüber erfahren möchten, wie Sie benutzerdefinierte IAM-Rollen erstellen, die Sie in Ihren verwalteten Zonen verwenden können, Siehe Informationen zu benutzerdefinierten IAM-Berechtigungen Rollen

Bei diesem Verfahren wird davon ausgegangen, dass Sie eine verwaltete Zone in einem Projekt erstellt haben. Für Eine Anleitung zum Erstellen einer verwalteten Zone finden Sie unter Erstellen, Ändern und Löschen Zonen.

IAM-Richtlinie für eine verwaltete Zone festlegen

So legen Sie die IAM-Richtlinie für eine bestimmte verwaltete Zone fest: führen Sie die folgenden Schritte aus.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud DNS-Zonen auf.

    Cloud DNS-Zonen aufrufen

  2. Wählen Sie eine oder mehrere Zonen aus, für die Sie die Zugriffssteuerung hinzufügen möchten Berechtigungen.

  3. Klicken Sie auf der Seite Berechtigungen für Ressourcen auf Hauptkonto hinzufügen.

  4. Fügen Sie auf der Seite Zugriff auf Ressource gewähren unter Neue Hauptkonten Folgendes hinzu: die E-Mail-Adresse des Nutzers, der Gruppe, der Domain oder des Dienstkontos, das Sie als neues Hauptkonto hinzufügen möchten.

  5. Wählen Sie aus der Liste Rollen zuweisen die gewünschte Rolle aus. dem Hauptkonto zuzuweisen.

  6. Klicken Sie auf Weitere Rolle hinzufügen, um weitere Rollen zuzuweisen.

  7. Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud dns managed-zones set-iam-policy aus:

gcloud dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

Dabei gilt:

  • NAME: Name der verwalteten Zone, für die Sie die IAM-Berechtigung festlegen möchten
  • POLICY-FILE: Datei mit der IAM-Richtlinie, die Sie für die verwaltete Zone angeben möchten Eine Beispielrichtliniendatei finden Sie unter Richtlinie.

Wenn dieser Befehl erfolgreich ausgeführt wird, gibt er die IAM-Richtlinie zurück. Andernfalls wird eine Fehlermeldung zurückgegeben, die den Fehler angibt.

API

Senden Sie eine POST-Anfrage mit der Methode managedZone.setIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

Dabei gilt:

  • PROJECT_ID: Name oder ID des Projekts
  • MANAGED_ZONE: Name der verwalteten Zone, für die Sie die IAM-Berechtigung festlegen möchten

Ausführliche Informationen zu diesem API-Aufruf finden Sie unter Bindung auf der IAM-API-Seite Policy.

IAM-Richtlinie für eine verwaltete Zone abrufen

Um die IAM-Richtlinie für eine bestimmte verwaltete Zone abzurufen, führen Sie die folgenden Schritte aus.

gcloud

Führen Sie den Befehl gcloud dns managed-zones get-iam-policy aus:

gcloud dns managed-zones get-iam-policy NAME

Ersetzen Sie NAME durch den Namen der verwalteten Zone, für die Sie die IAM-Richtlinie abrufen möchten.

Wenn dieser Befehl erfolgreich ausgeführt wird, gibt er die IAM-Richtlinie zurück. Andernfalls wird eine Fehlermeldung zurückgegeben, die den Fehler angibt.

API

Senden Sie eine POST-Anfrage mit der Methode managedZone.getIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy

Dabei gilt:

  • PROJECT_ID: Name oder ID des Projekts
  • MANAGED_ZONE: Name der verwalteten Zone, für die Sie die IAM-Berechtigung festlegen möchten

IAM-Berechtigungen für eine verwaltete Zone prüfen

Senden Sie eine POST-Anfrage mit der Methode managedZone.testIamPermissions:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions

Dabei gilt:

  • PROJECT_ID: Name oder ID des Projekts
  • MANAGED_ZONE: der Name der verwalteten Zone, für die Sie möchten die IAM-Berechtigung prüfen

Nächste Schritte