ロールと権限

このページでは、Cloud Domains API の役割と、Cloud Domains で使用可能なアクセス制御オプションについて説明します。

Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権をより詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。IAM では、IAM ポリシーを設定して、誰に、どのリソースに対するどのアクセス権を付与するかを制御できます。IAM ポリシーは、特定のロールをユーザーに付与することで、そのユーザーに特定の権限を付与します。

たとえば、特定のユーザーがドメインの連絡先の設定を作成および変更する必要がある場合などは、そのユーザーに Cloud Domains 管理者のロール(roles/domains.admin)を付与します。一方、ユーザーが既存のリソース ドメインのみを表示する場合は、Cloud Domains 閲覧者のロール(roles/domains.viewer)を付与します。Cloud Domains では、プロジェクト レベルとリソースレベルの両方のアクセスを構成できます。

閲覧者のロールの権限の例を次に示します。

  • プロジェクトに登録されているすべてのドメインを表示します。
  • DNS や有効期限などの登録の詳細を表示します。
  • ドメインの可用性を検索して、登録パラメータを取得します。

管理者ロールの権限の例を次に示します。

  • 新しいドメインを登録します。
  • 登録設定(DNS 設定や連絡先設定など)を更新します。

ロールの種類を理解するには、IAM の基本ロールと事前定義ロールのリファレンスをご覧ください。

Cloud Domains API を有効にする

Cloud Domains IAM のロールを表示して割り当てるには、プロジェクトに対して Cloud Domains API を有効にする必要があります。API を有効にするまで、Google Cloud コンソールで Cloud Domains のロールは表示されません。

API を有効にする

Cloud Domains でサポートされるロールと権限のリストについては、次のセクションをご覧ください。

ロール

次の表に、Cloud Domains API IAM のロールと、各ロールに含まれているすべての権限の対応するリストを示します。各権限は、それぞれ特定のリソースタイプを対象としています。各権限の詳細については、権限セクションをご覧ください。

Role Permissions

(roles/domains.admin)

Full access to Cloud Domains Registrations and related resources.

domains.*

  • domains.locations.get
  • domains.locations.list
  • domains.operations.cancel
  • domains.operations.get
  • domains.operations.list
  • domains.registrations.configureContact
  • domains.registrations.configureDns
  • domains.registrations.configureManagement
  • domains.registrations.create
  • domains.registrations.createTagBinding
  • domains.registrations.delete
  • domains.registrations.deleteTagBinding
  • domains.registrations.get
  • domains.registrations.getIamPolicy
  • domains.registrations.list
  • domains.registrations.listEffectiveTags
  • domains.registrations.listTagBindings
  • domains.registrations.setIamPolicy
  • domains.registrations.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/domains.viewer)

Read-only access to Cloud Domains Registrations and related resources.

domains.locations.*

  • domains.locations.get
  • domains.locations.list

domains.operations.get

domains.operations.list

domains.registrations.get

domains.registrations.getIamPolicy

domains.registrations.list

domains.registrations.listEffectiveTags

domains.registrations.listTagBindings

resourcemanager.projects.get

resourcemanager.projects.list

権限

発信者が各メソッドを呼び出す際に必要となる権限のリストを次の表に示します。

メソッド(ocations.registrations.) 説明 必要な権限
searchDomains 使用できるドメインを検索します。 domains.registrations.list
retrieveRegisterParameters 新しいドメインを登録するためのパラメータを取得します。 domains.registrations.list
register ドメインを登録します。 domains.registrations.create
リスト プロジェクト内の登録リソースを一覧表示します。 domains.registrations.list
get 登録リソースの詳細を取得します。 domains.registrations.get
patch 登録リソースの詳細を編集します。 domains.registrations.update
configureManagementSettings 登録リソースの管理設定を構成します。 domains.registrations.configureManagement
configureDnsSettings 登録リソースの DNS 設定を構成します。 domains.registrations.configureDns
configureContactSettings 登録リソースの連絡先の設定を構成します。 domains.registrations.configureContact
delete ドメインを削除します。 domains.registrations.delete
retrieveAuthorizationCode ドメイン移管の認証コードを取得します。 domains.registrations.configureManagement
resetAuthorizationCode ドメイン移管の認証コードをリセットします。 domains.registrations.configureManagement

Google Cloud コンソールを使用したアクセス制御

Google Cloud コンソールを使用して、プロジェクトのアクセス制御を管理できます。

詳しい手順については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

次のステップ