Crea una zona con autorizzazioni IAM specifiche

Questa pagina fornisce le istruzioni su come configurare autorizzazioni di lettura e scrittura o IAM (Identity and Access Management) specifiche per diverse zone gestite all'interno dello stesso progetto.

Per informazioni dettagliate sui criteri IAM, consulta la sezione Informazioni sui criteri di autorizzazione. Per informazioni sull'API IAM, consulta Policy. Per informazioni su come creare ruoli IAM personalizzati che puoi utilizzare nelle zone gestite, consulta Informazioni sui ruoli IAM personalizzati.

Questa procedura presuppone che tu abbia creato una zona gestita in un progetto. Per istruzioni su come creare una zona gestita, consulta Gestire le zone.

Imposta il criterio di controllo dell'accesso per una risorsa specifica

Per impostare il criterio IAM controllo dell'accesso su una specifica zona gestita, segui questi passaggi.

Console

  1. Nella console Google Cloud, vai alla pagina Zone Cloud DNS.

    Vai alle zone Cloud DNS

  2. Seleziona una o più zone a cui aggiungere le autorizzazioni per controllo dell'accesso'accesso.

  3. Nella pagina Autorizzazioni alle risorse, fai clic su Aggiungi entità.

  4. Nella pagina Concedi l'accesso alla risorsa, in Nuove entità, aggiungi l'indirizzo email dell'utente, del gruppo, del dominio o dell'account di servizio che vuoi aggiungere come nuova entità.

  5. Nell'elenco Assegna ruoli, seleziona il ruolo che vuoi assegnare all'entità.

  6. Per assegnare ruoli aggiuntivi, fai clic su Aggiungi un altro ruolo.

  7. Fai clic su Salva.

gcloud

Esegui il comando gcloud dns managed-zones set-iam-policy:

gcloud dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

Sostituisci quanto segue:

  • NAME: il nome della zona gestita per cui vuoi impostare l'autorizzazione IAM
  • POLICY-FILE: il file contenente il criterio IAM che vuoi specificare per la zona gestita. Per un esempio di file dei criteri, consulta Criteri

Se questo comando viene eseguito correttamente, restituisce il criterio IAM. In caso contrario, restituisce un messaggio di errore che specifica l'errore.

API

Invia una richiesta POST utilizzando il metodo managedZone.setIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

Sostituisci quanto segue:

  • PROJECT_ID: il nome o l'ID del progetto
  • MANAGED_ZONE: il nome della zona gestita per cui vuoi impostare l'autorizzazione IAM

Per informazioni dettagliate su questa chiamata API, consulta Associazione nella pagina dell'API IAM Policy.

Ottieni criterio IAM di controllo dell'accesso per una risorsa

Per ottenere il criterio IAM di controllo dell'accesso dell'accesso per una risorsa, ad esempio una zona gestita, segui questi passaggi.

gcloud

Esegui il comando gcloud dns managed-zones get-iam-policy:

gcloud dns managed-zones get-iam-policy NAME

Sostituisci NAME con il nome della zona gestita per cui vuoi ottenere il criterio IAM.

Se questo comando viene eseguito correttamente, restituisce il criterio IAM. In caso contrario, restituisce un messaggio di errore che specifica l'errore.

API

Invia una richiesta POST utilizzando il metodo managedZone.getIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicg

Sostituisci quanto segue:

  • PROJECT_ID: il nome o l'ID del progetto
  • MANAGED_ZONE: il nome della zona gestita per cui vuoi impostare l'autorizzazione IAM

Verificare le autorizzazioni IAM per una zona gestita

Invia una richiesta POST utilizzando il metodo managedZone.testIamPermissions:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions

Sostituisci quanto segue:

  • PROJECT_ID: il nome o l'ID del progetto
  • MANAGED_ZONE: il nome della zona gestita per cui vuoi controllare l'autorizzazione IAM

Passaggi successivi