角色与权限

本页面介绍了 Cloud Domains 中可用的 Cloud Domains API 角色以及访问权限控制选项。

Google Cloud 提供 Identity and Access Management (IAM),可让您以更精细的方式授予对特定 Google Cloud 资源的访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最小权限安全原则,以便只授予对您的资源的必要访问权限。IAM 允许您通过设置 IAM 政策来控制谁对哪些资源具有什么权限。IAM 政策向用户授予特定角色,从而为用户授予某些权限。

例如,特定用户可能需要创建和修改网域的联系人设置,因此您需要为该用户授予 Cloud Domains Admin 角色 (roles/domains.admin)。另一方面,用户可能只需要查看现有的资源网域,因此他们将获得 Cloud Domains Viewer 角色 (roles/domains.viewer)。对于 Cloud Domains,您可以同时配置项目级和资源级访问权限。

以下是一些 Viewer 角色的权限示例:

  • 查看在项目中注册的所有网域。
  • 查看注册详情,例如 DNS 或过期时间。
  • 搜索域名可用性并获取注册参数。

以下是 Admin 角色的一些权限示例:

  • 注册新域名。
  • 更新注册设置,包括 DNS 设置和联系人设置。

如需了解角色类型,请参阅 IAM 基本和预定义角色参考文档

启用 Cloud Domains API

要查看和分配 Cloud Domains IAM 角色,您必须为项目启用 Cloud Domains API。在启用该 API 之前,您无法在 Google Cloud 控制台中看到 Cloud Domains 角色。

启用 API

如需查看 Cloud Domains 支持的角色和权限的列表,请参阅以下部分。

角色

下表列出了 Cloud Domains API IAM 角色以及每个角色包含的所有权限的相应列表。每个权限适用于特定的资源类型。如需详细了解各项权限,请参阅权限部分。

Role Permissions

(roles/domains.admin)

Full access to Cloud Domains Registrations and related resources.

domains.*

  • domains.locations.get
  • domains.locations.list
  • domains.operations.cancel
  • domains.operations.get
  • domains.operations.list
  • domains.registrations.configureContact
  • domains.registrations.configureDns
  • domains.registrations.configureManagement
  • domains.registrations.create
  • domains.registrations.createTagBinding
  • domains.registrations.delete
  • domains.registrations.deleteTagBinding
  • domains.registrations.get
  • domains.registrations.getIamPolicy
  • domains.registrations.list
  • domains.registrations.listEffectiveTags
  • domains.registrations.listTagBindings
  • domains.registrations.setIamPolicy
  • domains.registrations.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/domains.viewer)

Read-only access to Cloud Domains Registrations and related resources.

domains.locations.*

  • domains.locations.get
  • domains.locations.list

domains.operations.get

domains.operations.list

domains.registrations.get

domains.registrations.getIamPolicy

domains.registrations.list

domains.registrations.listEffectiveTags

domains.registrations.listTagBindings

resourcemanager.projects.get

resourcemanager.projects.list

权限

下表列出了调用者调用每个方法必须具备的权限。

方法 (locations.registrations.) 说明 所需权限
searchDomains 搜索可用的域名。 domains.registrations.list
retrieveRegisterParameters 获取参数以注册新域名。 domains.registrations.list
register 注册域名。 domains.registrations.create
list 列出项目中的注册资源。 domains.registrations.list
get 获取注册资源的详细信息。 domains.registrations.get
patch 修改注册资源的详细信息。 domains.registrations.update
configureManagementSettings 配置注册资源的管理设置。 domains.registrations.configureManagement
configureDnsSettings 配置注册资源的 DNS 设置。 domains.registrations.configureDns
configureContactSettings 配置注册资源的联系人设置。 domains.registrations.configureContact
删除 删除网域。 domains.registrations.delete
retrieveAuthorizationCode 检索域名转移的授权代码。 domains.registrations.configureManagement
resetAuthorizationCode 重置域名转移的授权代码。 domains.registrations.configureManagement

使用 Google Cloud 控制台控制访问权限

您可以使用 Google Cloud 控制台来管理项目的访问权限控制。

如需了解详细说明,请参阅管理对项目、文件夹和组织的访问权限

后续步骤

  • 如需开始使用 Cloud Domains,请参阅快速入门
  • 如需提高 Cloud Domains 配置的安全性,请参阅 VPC Service Controls 支持
  • 如需查找使用 Cloud Domains 时可能会遇到的常见问题的解决方案,请参阅问题排查