本页面介绍了如何为同一项目下的不同代管区域设置特定的读取、写入或管理员 Identity and Access Management (IAM) 权限。
如需详细了解 IAM 政策,请参阅了解允许政策。如需了解 IAM 政策 API,请参阅 Policy。 如需了解如何创建可在托管区域使用的 IAM 自定义角色,请参阅了解 IAM 自定义角色。
此过程假定您已在项目中创建代管区域。如需了解如何创建代管区域,请参阅创建、修改和删除区域。
为托管式可用区设置 IAM 政策
如需为特定代管式区域设置 IAM 政策,请执行以下操作: 请按以下步骤操作。
控制台
在 Google Cloud 控制台中,转到 Cloud DNS 可用区页面。
选择要为其添加访问权限控制权限的一个或多个区域。
在资源权限页面上,点击添加主账号。
在授予对资源的访问权限页面上的新建主账号下,添加您希望添加为新主账号的用户、群组、网域或服务账号的电子邮件地址。
从分配角色列表中,选择要分配给主账号的角色。
如需分配更多角色,请点击添加其他角色。
点击保存。
gcloud
运行 gcloud dns managed-zones set-iam-policy 命令:
gcloud dns managed-zones set-iam-policy NAME \ --policy-file=POLICY-FILE
替换以下内容:
NAME:要为其设置 IAM 权限的代管区域的名称POLICY-FILE:包含您要为代管区域指定的 IAM 政策的文件。如需查看政策文件示例,请参阅政策。
如果此命令成功运行,则会返回 IAM 政策。否则,将返回指定具体错误的错误消息。
API
使用 managedZone.setIamPolicy 方法发送 POST 请求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy
替换以下内容:
PROJECT_ID:项目的名称或 IDMANAGED_ZONE:要为其设置 IAM 权限的代管区域的名称
如需详细了解此 API 调用,请参阅 IAM Policy API 页面上的绑定。
获取托管区域的 IAM 政策
如需获取特定代管区域的 IAM 政策,请按照以下步骤操作。
gcloud
运行 gcloud dns managed-zones get-iam-policy 命令:
gcloud dns managed-zones get-iam-policy NAME
将 NAME 替换为要获取其 IAM 政策的代管区域的名称。
如果此命令成功运行,则会返回 IAM 政策。否则,将返回指定具体错误的错误消息。
API
使用 managedZone.getIamPolicy 方法发送 POST 请求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy
替换以下内容:
PROJECT_ID:项目的名称或 IDMANAGED_ZONE:要为其设置 IAM 权限的代管区域的名称
检查托管区域的 IAM 权限
使用 managedZone.testIamPermissions 方法发送 POST 请求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions
替换以下内容:
PROJECT_ID:项目的名称或 IDMANAGED_ZONE:您要检查其 IAM 权限的托管区域的名称
后续步骤
- 如需使用代管式区域,请参阅创建、修改和删除区域。
- 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查。
- 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览。