Auf dieser Seite wird beschrieben, wie Sie bestimmte Lese-, Schreib- oder Administratorberechtigungen (Identity and Access Management, IAM) für verschiedene verwaltete Zonen unter demselben Projekt einrichten.
Ausführliche Informationen zu IAM-Richtlinien finden Sie unter Informationen zu Richtlinien für Zulassungen. Informationen zur IAM Policy API finden Sie unter Policy. Informationen zum Erstellen benutzerdefinierter IAM-Rollen, die Sie für Ihre verwalteten Zonen verwenden können, finden Sie unter Informationen zu benutzerdefinierten IAM-Rollen.
Bei diesem Verfahren wird davon ausgegangen, dass Sie eine verwaltete Zone in einem Projekt erstellt haben. Eine Anleitung zum Erstellen einer verwalteten Zone finden Sie unter Zonen erstellen, ändern und löschen.
IAM-Richtlinie für eine verwaltete Zone festlegen
Führen Sie die folgenden Schritte aus, um die IAM-Richtlinie für eine bestimmte verwaltete Zone festzulegen.
Console
Rufen Sie in der Google Cloud Console die Seite Cloud DNS-Zonen auf.
Wählen Sie eine oder mehrere Zonen aus, für die Sie Zugriffssteuerungsberechtigungen hinzufügen möchten.
Klicken Sie auf der Seite Berechtigungen für Ressourcen auf Hauptkonto hinzufügen.
Geben Sie auf der Seite Zugriff auf Ressource gewähren unter Neue Hauptkonten die E-Mail-Adresse des Nutzers, der Gruppe, der Domain oder des Dienstkontos ein, das Sie als neues Hauptkonto hinzufügen möchten.
Wählen Sie in der Liste Rollen zuweisen die Rolle aus, die Sie dem Hauptkonto zuweisen möchten.
Wenn Sie weitere Rollen zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen.
Klicken Sie auf Speichern.
gcloud
Führen Sie den Befehl gcloud dns managed-zones set-iam-policy aus:
gcloud dns managed-zones set-iam-policy NAME \ --policy-file=POLICY-FILE
Dabei gilt:
NAME: Name der verwalteten Zone, für die Sie die IAM-Berechtigung festlegen möchtenPOLICY-FILE: Datei mit der IAM-Richtlinie, die Sie für die verwaltete Zone angeben möchten Eine Beispielrichtliniendatei finden Sie unter Richtlinie.
Wenn dieser Befehl erfolgreich ausgeführt wird, gibt er die IAM-Richtlinie zurück. Andernfalls wird eine Fehlermeldung zurückgegeben, die den Fehler angibt.
API
Senden Sie eine POST-Anfrage mit der Methode managedZone.setIamPolicy:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy
Dabei gilt:
PROJECT_ID: Name oder ID des ProjektsMANAGED_ZONE: Name der verwalteten Zone, für die Sie die IAM-Berechtigung festlegen möchten
Ausführliche Informationen zu diesem API-Aufruf finden Sie unter Bindung auf der IAM-API-Seite Policy.
IAM-Richtlinie für eine verwaltete Zone abrufen
So rufen Sie die IAM-Richtlinie für eine bestimmte verwaltete Zone ab:
gcloud
Führen Sie den Befehl gcloud dns managed-zones get-iam-policy aus:
gcloud dns managed-zones get-iam-policy NAME
Ersetzen Sie NAME durch den Namen der verwalteten Zone, für die Sie die IAM-Richtlinie abrufen möchten.
Wenn dieser Befehl erfolgreich ausgeführt wird, gibt er die IAM-Richtlinie zurück. Andernfalls wird eine Fehlermeldung zurückgegeben, die den Fehler angibt.
API
Senden Sie eine POST-Anfrage mit der Methode managedZone.getIamPolicy:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy
Dabei gilt:
PROJECT_ID: Name oder ID des ProjektsMANAGED_ZONE: Name der verwalteten Zone, für die Sie die IAM-Berechtigung festlegen möchten
IAM-Berechtigungen für eine verwaltete Zone prüfen
Senden Sie eine POST-Anfrage mit der Methode managedZone.testIamPermissions:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions
Dabei gilt:
PROJECT_ID: Name oder ID des ProjektsMANAGED_ZONE: Name der verwalteten Zone, für die Sie die IAM-Berechtigung prüfen möchten
Nächste Schritte
- Informationen zum Arbeiten mit verwalteten Zonen finden Sie unter Zonen erstellen, ändern und löschen.
- Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.
- Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.