Imposta e gestisci i criteri IAM per le zone gestite

Questa pagina fornisce istruzioni su come configurare autorizzazioni IAM (Identity and Access Management) specifiche di lettura, scrittura o amministratore per diverse zone gestite nello stesso progetto.

Per informazioni dettagliate sui criteri IAM, consulta Informazioni sui criteri di autorizzazione. Per informazioni sull'API di criteri IAM, consulta Policy. Per scoprire come creare ruoli IAM personalizzati da utilizzare nelle zone gestite, consulta Informazioni sui ruoli IAM personalizzati.

Questa procedura presuppone che tu abbia creato una zona gestita in un progetto. Per istruzioni su come creare una zona gestita, consulta Creare, modificare ed eliminare le zone.

Impostare il criterio IAM per una zona gestita

Per impostare il criterio IAM in una zona gestita specifica:

Console

  1. Nella console Google Cloud, vai alla pagina Zone Cloud DNS.

    Vai alle zone Cloud DNS

  2. Seleziona una o più zone per le quali vuoi aggiungere autorizzazioni di controllo dell'accesso'accesso.

  3. Nella pagina Autorizzazioni per le risorse, fai clic su Aggiungi entità.

  4. Nella pagina Concedi l'accesso alla risorsa, in Nuove entità, aggiungi l'indirizzo email dell'utente, del gruppo, del dominio o dell'account di servizio che vuoi aggiungere come nuova entità.

  5. Nell'elenco Assegna ruoli, seleziona il ruolo da assegnare al principale.

  6. Per assegnare altri ruoli, fai clic su Aggiungi un altro ruolo.

  7. Fai clic su Salva.

gcloud

Esegui il gcloud dns managed-zones set-iam-policy comando:

gcloud dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

Sostituisci quanto segue:

  • NAME: il nome della zona gestita per la quale vuoi impostare l'autorizzazione IAM
  • POLICY-FILE: il file contenente il criterio IAM che vuoi specificare per la zona gestita. Per un esempio di file di criteri, consulta Criteri

Se il comando viene eseguito correttamente, restituisce il criterio IAM. In caso contrario, restituisce un messaggio di errore che lo specifica.

API

Invia una richiesta POST utilizzando il metodo managedZone.setIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

Sostituisci quanto segue:

  • PROJECT_ID: il nome o l'ID del progetto
  • MANAGED_ZONE: il nome della zona gestita per la quale vuoi impostare l'autorizzazione IAM

Per informazioni dettagliate su questa chiamata API, consulta Associazione nella pagina dell'API IAM Policy.

Recupera il criterio IAM per una zona gestita

Per ottenere il criterio IAM per una zona gestita specifica, segui questi passaggi.

gcloud

Esegui il gcloud dns managed-zones get-iam-policy comando:

gcloud dns managed-zones get-iam-policy NAME

Sostituisci NAME con il nome della zona gestita per cui vuoi recuperare il criterio IAM.

Se il comando viene eseguito correttamente, restituisce il criterio IAM. In caso contrario, restituisce un messaggio di errore che lo specifica.

API

Invia una richiesta POST utilizzando il metodo managedZone.getIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy

Sostituisci quanto segue:

  • PROJECT_ID: il nome o l'ID del progetto
  • MANAGED_ZONE: il nome della zona gestita per la quale vuoi impostare l'autorizzazione IAM

Verificare le autorizzazioni IAM per una zona gestita

Invia una richiesta POST utilizzando il metodo managedZone.testIamPermissions:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions

Sostituisci quanto segue:

  • PROJECT_ID: il nome o l'ID del progetto
  • MANAGED_ZONE: il nome della zona gestita per la quale vuoi controllare l'autorizzazione IAM

Passaggi successivi