En esta página, se proporcionan instrucciones sobre cómo configurar permisos específicos de lectura, escritura o administrador de administración de identidades y accesos (IAM) para diferentes zonas administradas del mismo proyecto.
Para obtener información detallada sobre las políticas de IAM, consulta Comprende las políticas de permisos. Para obtener información sobre la API de políticas de IAM, consulta Policy. Para aprender a crear funciones personalizadas de IAM que puedas usar en tus zonas administradas, consulta Comprende las funciones personalizadas de IAM.
En este procedimiento, se da por sentado que ya creaste una zona administrada en un proyecto. Si deseas obtener instrucciones para crear una zona administrada, consulta Crea, modifica y borra zonas.
Configurar política de IAM para una zona administrada
Para establecer la política de IAM en una zona administrada específica, sigue estos pasos.
Console
En la consola de Google Cloud, ve a la página Zonas de Cloud DNS.
Selecciona una o más zonas para las que deseas agregar permisos de control de acceso.
En la página Permisos para los recursos, haz clic en Agregar principal.
En la página Otorgar acceso al recurso, en Principales nuevas, agrega la dirección de correo electrónico del usuario, grupo, dominio o cuenta de servicio que deseas agregar como la principal nueva.
En la lista Asignar roles, selecciona el rol que deseas asignar a la principal.
Para asignar roles adicionales, haz clic en Agregar otro rol.
Haz clic en Guardar.
gcloud
Ejecuta el comando gcloud dns managed-zones set-iam-policy:
gcloud dns managed-zones set-iam-policy NAME \ --policy-file=POLICY-FILE
Reemplaza lo siguiente:
NAME: El nombre de la zona administrada en la que deseas establecer el permiso de IAMPOLICY-FILE: Es el archivo que contiene la política de IAM que deseas especificar para la zona administrada. Para ver un ejemplo de archivo de política, consulta Política
Si este comando se ejecuta correctamente, muestra la política de IAM. De lo contrario, muestra un mensaje de error que especifica el error.
API
Envía una solicitud POST con el método managedZone.setIamPolicy:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy
Reemplaza lo siguiente:
PROJECT_ID: Es el nombre o el ID del proyecto.MANAGED_ZONE: Es el nombre de la zona administrada para la que deseas establecer el permiso de IAM.
Para obtener información detallada sobre esta llamada a la API, consulta Vinculación en la página de la API de IAM Policy.
Obtener política de IAM para una zona administrada
Para obtener la política de IAM de una zona administrada específica, sigue estos pasos.
gcloud
Ejecuta el comando gcloud dns managed-zones get-iam-policy:
gcloud dns managed-zones get-iam-policy NAME
Reemplaza NAME por el nombre de la zona administrada para la que deseas obtener la política de IAM.
Si este comando se ejecuta correctamente, muestra la política de IAM. De lo contrario, muestra un mensaje de error que especifica el error.
API
Envía una solicitud POST con el método managedZone.getIamPolicy:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy
Reemplaza lo siguiente:
PROJECT_ID: Es el nombre o el ID del proyecto.MANAGED_ZONE: Es el nombre de la zona administrada para la que deseas establecer el permiso de IAM.
Verifica los permisos de IAM de una zona administrada
Envía una solicitud POST con el método managedZone.testIamPermissions:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions
Reemplaza lo siguiente:
PROJECT_ID: Es el nombre o el ID del proyecto.MANAGED_ZONE: Es el nombre de la zona administrada para la que deseas verificar el permiso de IAM.
¿Qué sigue?
- Para trabajar con zonas administradas, consulta Crea, modifica y borra zonas.
- Para encontrar soluciones a problemas habituales que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.