Configura y administra políticas de IAM para zonas administradas

En esta página, se proporcionan instrucciones sobre cómo configurar permisos específicos de lectura, escritura o administrador de administración de identidades y accesos (IAM) para diferentes zonas administradas del mismo proyecto.

Para obtener información detallada sobre las políticas de IAM, consulta Información sobre las políticas de autorización. Para obtener información sobre la IAM, Policy Controller, consulta Policy. Para obtener información sobre cómo crear roles personalizados de IAM que puedes usar en tus zonas administradas, consulta Comprende los roles personalizados de IAM.

En este procedimiento, se supone que creaste una zona administrada en un proyecto. Para instrucciones para crear una zona administrada, consulta Crea, modifica y borra zonas.

Configurar políticas de IAM para una zona administrada

Para establecer la política de IAM en una zona administrada específica, sigue estos pasos.

Console

  1. En la consola de Google Cloud, ve a la página Zonas de Cloud DNS.

    Ir a Zonas de Cloud DNS

  2. Selecciona una o más zonas a las que deseas agregar el control de acceso permisos.

  3. En la página Permisos a los recursos, haz clic en Agregar principal.

  4. En la página Otorgar acceso al recurso, en Principales nuevas, agrega la dirección de correo electrónico del usuario, grupo, dominio o cuenta de servicio agregar como la principal nueva.

  5. En la lista Asignar roles, selecciona el rol que deseas asignar. asignar a la principal.

  6. Para asignar roles adicionales, haz clic en Agregar otro rol.

  7. Haz clic en Guardar.

gcloud

Ejecuta el comando gcloud dns managed-zones set-iam-policy:

gcloud dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

Reemplaza lo siguiente:

  • NAME: El nombre de la zona administrada en la que deseas establecer el permiso de IAM
  • POLICY-FILE: Es el archivo que contiene la política de IAM que deseas especificar para la zona administrada. Por ejemplo archivo de políticas, consulta Política

Si este comando se ejecuta correctamente, muestra la política de IAM. De lo contrario, muestra un mensaje de error que especifica el error.

API

Envía una solicitud POST con el método managedZone.setIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

Reemplaza lo siguiente:

  • PROJECT_ID: Es el nombre o ID del proyecto.
  • MANAGED_ZONE: El nombre de la zona administrada en la que deseas establecer el permiso de IAM

Para obtener información detallada sobre esta llamada a la API, consulta Vinculación en la página de la API de Policy de IAM.

Obtener política de IAM para una zona administrada

Para obtener la política de IAM para una zona administrada específica, sigue estos pasos.

gcloud

Ejecuta el comando gcloud dns managed-zones get-iam-policy:

gcloud dns managed-zones get-iam-policy NAME

Reemplaza NAME por el nombre de la zona administrada para la cual quieres obtener la política de IAM.

Si este comando se ejecuta correctamente, muestra la política de IAM. De lo contrario, muestra un mensaje de error en el que se especifica el error.

API

Envía una solicitud POST con el método managedZone.getIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy

Reemplaza lo siguiente:

  • PROJECT_ID: Es el nombre o ID del proyecto.
  • MANAGED_ZONE: Es el nombre de la zona administrada para la que deseas establecer el permiso de IAM

Verifica los permisos de IAM para una zona administrada

Envía una solicitud POST con el método managedZone.testIamPermissions:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions

Reemplaza lo siguiente:

  • PROJECT_ID: Es el nombre o ID del proyecto.
  • MANAGED_ZONE: El nombre de la zona administrada en la que deseas verificar el permiso de IAM

¿Qué sigue?