创建具有特定 IAM 权限的区域

本页面介绍了如何为同一项目下的不同代管区域设置特定的读取、写入或管理员 Identity and Access Management (IAM) 权限。

如需详细了解 IAM 政策,请参阅了解允许政策。如需了解 IAM 政策 API,请参阅 Policy

此过程假定您已在项目中创建代管区域。如需了解如何创建代管区域,请参阅管理区域

限制

Google Cloud 控制台中不提供这些操作。

为特定资源设置访问权限控制政策

如需对特定代管区域设置访问权限控制 IAM 政策,请按照以下步骤操作。

gcloud

运行 gcloud beta dns managed-zones set-iam-policy 命令

gcloud beta dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

替换以下内容:

  • NAME:要为其设置 IAM 权限的代管区域的名称
  • POLICY-FILE:包含您要为代管区域指定的 IAM 政策的文件。如需查看政策文件示例,请参阅政策

如果此命令成功运行,则会返回 IAM 政策。否则,将返回指定具体错误的错误消息。

API

使用 managedZone.setIamPolicy 方法发送 POST 请求:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

替换以下内容:

  • PROJECT_ID:项目的名称或 ID
  • MANAGED_ZONE:要为其设置 IAM 权限的代管区域的名称

如需详细了解此 API 调用,请参阅 IAM Policy API 页面上的绑定

获取资源的访问权限控制 IAM 政策

要获取资源(如代管区域)的访问权限控制 IAM 政策,请按照以下步骤操作。

gcloud

运行 gcloud beta dns managed-zones get-iam-policy 命令

gcloud beta dns managed-zones get-iam-policy NAME

NAME 替换为要获取其 IAM 政策的代管区域的名称。

如果此命令成功运行,则会返回 IAM 政策。否则,将返回指定具体错误的错误消息。

API

使用 managedZone.getIamPolicy 方法发送 GET 请求:

POST https://dns.googleapis.com/dns/v1beta1/projects/PROJECT_ID/managedZones/ManagedZone:setIamPolicy

替换以下内容:

  • PROJECT_ID:项目的名称或 ID
  • MANAGED_ZONE:要为其设置 IAM 权限的代管区域的名称

后续步骤

  • 如需创建、更新、列出和删除代管区域,请参阅管理区域
  • 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查
  • 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览