マネージドゾーンの IAM ポリシーを設定、管理する

このページでは、同じプロジェクトの異なるマネージドゾーンで、特定の読み取り、書き込み、管理者の Identity and Access Management（IAM）権限を設定する方法について説明します。

IAM ポリシーの詳細については、許可ポリシーについてをご覧ください。IAM ポリシー API の詳細については、Policy をご覧ください。マネージドゾーンで使用できる IAM カスタムロールを作成する方法については、IAM のカスタムロールについてをご覧ください。

このタスクに必要な権限

このタスクを実行するには、次の権限または次の IAM のロールが付与されている必要があります。

権限

setIamPolicy メソッドの dns.managedZones.setIamPolicy
getIamPolicy メソッドの dns.managedZones.getIamPolicy
testIamPermission メソッドの dns.managedZones.list

ロール

roles/iam.securityAdmin
roles/dns.admin

この手順では、プロジェクトにマネージドゾーンを作成していることを前提としています。マネージドゾーンの作成方法については、ゾーンの作成、変更、削除をご覧ください。

マネージドゾーンの IAM ポリシーを設定する

特定のマネージドゾーンに IAM ポリシーを設定するには、次の手順に沿って操作します。

コンソール

Google Cloud コンソールで Cloud DNS の [ゾーン] ページに移動します。

Cloud DNS の [ゾーン] に移動
アクセス制御の権限を追加するゾーンを 1 つ以上選択します。
リソースの権限ページで、[プリンシパルを追加] をクリックします。
リソースにアクセス権を付与するページの [新しいプリンシパル] で、新しいプリンシパルとして追加するユーザー、グループ、ドメイン、またはサービスアカウントのメールアドレスを追加します。
[ロールを割り当てる] リストから、プリンシパルに割り当てるロールを選択します。
他のロールを割り当てるには、[別のロールを追加] をクリックします。
[保存] をクリックします。

gcloud

gcloud dns managed-zones set-iam-policy コマンドを実行します。

gcloud dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

次のように置き換えます。

NAME: IAM 権限を設定するマネージドゾーンの名前
POLICY-FILE: マネージドゾーンに指定する IAM ポリシーを含むファイル。ポリシーファイルの例については、ポリシーをご覧ください。

このコマンドが正常に実行されると、IAM ポリシーが返されます。エラーがある場合は、エラーを説明するエラーメッセージが返されます。

API

managedZone.setIamPolicy メソッドを使用して、POST リクエストを送信します。

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

次のように置き換えます。

PROJECT_ID: プロジェクトの名前または ID
MANAGED_ZONE: IAM 権限を設定するマネージドゾーンの名前

この API 呼び出しの詳細については、IAM Policy API ページのバインディングをご覧ください。

マネージドゾーンの IAM ポリシーを取得する

特定のマネージドゾーンの IAM ポリシーを取得するには、次の手順に沿って操作します。

gcloud

gcloud dns managed-zones get-iam-policy コマンドを実行します。

gcloud dns managed-zones get-iam-policy NAME

NAME は、IAM ポリシーを取得するマネージドゾーンの名前に置き換えます。

このコマンドが正常に実行されると、IAM ポリシーが返されます。エラーがある場合は、エラーを説明するエラーメッセージが返されます。

API

managedZone.getIamPolicy メソッドを使用して、POST リクエストを送信します。

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy

次のように置き換えます。

PROJECT_ID: プロジェクトの名前または ID
MANAGED_ZONE: IAM 権限を設定するマネージドゾーンの名前

マネージドゾーンの IAM 権限を確認する

managedZone.testIamPermissions メソッドを使用して、POST リクエストを送信します。

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions

次のように置き換えます。

PROJECT_ID: プロジェクトの名前または ID
MANAGED_ZONE: IAM 権限を確認するマネージドゾーンの名前

次のステップ

マネージドゾーンを操作するには、ゾーンの作成、変更、削除をご覧ください。
Cloud DNS の使用時に発生する可能性のある一般的な問題の解決策については、トラブルシューティングをご覧ください。
Cloud DNS の概要については、Cloud DNS の概要をご覧ください。

マネージド ゾーンの IAM ポリシーを設定、管理する

このタスクに必要な権限

マネージド ゾーンの IAM ポリシーを設定する

コンソール

gcloud

API

マネージド ゾーンの IAM ポリシーを取得する

gcloud

API

マネージド ゾーンの IAM 権限を確認する

次のステップ

マネージドゾーンの IAM ポリシーを設定、管理する

マネージドゾーンの IAM ポリシーを設定する

マネージドゾーンの IAM ポリシーを取得する

マネージドゾーンの IAM 権限を確認する