Esta página proporciona instrucciones sobre cómo configurar permisos específicos de lectura, escritura o administración de identidad y acceso (IAM) para diferentes zonas administradas bajo el mismo proyecto.
Para obtener información detallada sobre las políticas de IAM, consulte "Información sobre las políticas de permisos" . Para obtener información sobre la API de políticas de IAM, consulte Policy . Para aprender a crear roles personalizados de IAM que pueda usar en sus zonas administradas, consulte "Información sobre los roles personalizados de IAM" .
Este procedimiento presupone que ha creado una zona administrada en un proyecto. Para obtener instrucciones sobre cómo crear una zona administrada, consulte Crear, modificar y eliminar zonas .
Establecer la política de IAM para una zona administrada
Para configurar la política de IAM en una zona administrada específica, siga estos pasos.
Consola
En el Google Cloud consola, vaya a la página de zonas DNS de la nube .
Seleccione una o más zonas para las que desea agregar permisos de control de acceso.
En la página Permisos para recursos , haga clic en Agregar principal .
En la página Otorgar acceso al recurso , en Nuevos principales , agregue la dirección de correo electrónico del usuario, grupo, dominio o cuenta de servicio que desea agregar como nuevo principal.
En la lista Asignar roles , seleccione el rol que desea asignar al principal.
Para asignar roles adicionales, haga clic en Agregar otro rol .
Haga clic en Guardar .
nube g
Ejecute el comando gcloud dns managed-zones set-iam-policy :
gcloud dns managed-zones set-iam-policy NAME \ --policy-file=POLICY-FILE
Reemplace lo siguiente:
-
NAME: el nombre de la zona administrada para la que desea establecer el permiso de IAM -
POLICY-FILE: el archivo que contiene la política de IAM que desea especificar para la zona administrada. Para ver un ejemplo de archivo de política, consulte Política.
Si este comando se ejecuta correctamente, devuelve la política de IAM. De lo contrario, devuelve un mensaje de error que especifica el error.
API
Envíe una solicitud POST utilizando el método managedZone.setIamPolicy :
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy
Reemplace lo siguiente:
-
PROJECT_ID: el nombre o ID del proyecto -
MANAGED_ZONE: el nombre de la zona administrada para la que desea establecer el permiso de IAM
Para obtener información detallada sobre esta llamada API, consulte Vinculación en la página API Policy de IAM.
Obtener la política de IAM para una zona administrada
Para obtener la política de IAM para una zona administrada específica, siga estos pasos.
nube g
Ejecute el comando gcloud dns managed-zones get-iam-policy :
gcloud dns managed-zones get-iam-policy NAME
Reemplace NAME con el nombre de la zona administrada para la que desea obtener la política de IAM.
Si este comando se ejecuta correctamente, devuelve la política de IAM. De lo contrario, devuelve un mensaje de error que especifica el error.
API
Envíe una solicitud POST utilizando el método managedZone.getIamPolicy :
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy
Reemplace lo siguiente:
-
PROJECT_ID: el nombre o ID del proyecto -
MANAGED_ZONE: el nombre de la zona administrada para la que desea establecer el permiso de IAM
Comprobar los permisos de IAM para una zona administrada
Envíe una solicitud POST utilizando el método managedZone.testIamPermissions :
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions
Reemplace lo siguiente:
-
PROJECT_ID: el nombre o ID del proyecto -
MANAGED_ZONE: el nombre de la zona administrada para la que desea verificar el permiso de IAM
¿Qué sigue?
- Para trabajar con zonas administradas, consulte Crear, modificar y eliminar zonas .
- Para encontrar soluciones a problemas comunes que pueda encontrar al usar Cloud DNS, consulte Solución de problemas .
- Para obtener una descripción general de Cloud DNS, consulte Descripción general de Cloud DNS .