为托管区域设置和管理 IAM 政策

本页面介绍了如何为同一项目下的不同代管区域设置特定的读取、写入或管理员 Identity and Access Management (IAM) 权限。

如需详细了解 IAM 政策,请参阅了解允许政策。如需了解 IAM 政策 API,请参阅 Policy。 如需了解如何创建可在托管区域使用的 IAM 自定义角色,请参阅了解 IAM 自定义角色

此过程假定您已在项目中创建代管区域。如需了解如何创建代管区域,请参阅创建、修改和删除区域

为托管式可用区设置 IAM 政策

如需对特定代管区域设置 IAM 政策,请按照以下步骤操作。

控制台

  1. 在 Google Cloud 控制台中,转到 Cloud DNS 可用区页面。

    转到 Cloud DNS 可用区

  2. 选择要为其添加访问权限控制权限的一个或多个区域。

  3. 资源权限页面上,点击添加主账号

  4. 授予对资源的访问权限页面上的新建主账号下,添加您希望添加为新主账号的用户、群组、网域或服务账号的电子邮件地址。

  5. 分配角色列表中,选择要分配给主账号的角色。

  6. 如需分配更多角色,请点击添加其他角色

  7. 点击保存

gcloud

运行 gcloud dns managed-zones set-iam-policy 命令

gcloud dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

替换以下内容:

  • NAME:要为其设置 IAM 权限的代管区域的名称
  • POLICY-FILE:包含您要为代管区域指定的 IAM 政策的文件。如需查看政策文件示例,请参阅政策

如果此命令成功运行,则会返回 IAM 政策。否则,将返回指定具体错误的错误消息。

API

使用 managedZone.setIamPolicy 方法发送 POST 请求:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

替换以下内容:

  • PROJECT_ID:项目的名称或 ID
  • MANAGED_ZONE:要为其设置 IAM 权限的代管区域的名称

如需详细了解此 API 调用,请参阅 IAM Policy API 页面上的绑定

获取托管区域的 IAM 政策

如需获取特定代管区域的 IAM 政策,请按照以下步骤操作。

gcloud

运行 gcloud dns managed-zones get-iam-policy 命令

gcloud dns managed-zones get-iam-policy NAME

NAME 替换为要获取其 IAM 政策的代管区域的名称。

如果此命令成功运行,则会返回 IAM 政策。否则,将返回指定具体错误的错误消息。

API

使用 managedZone.getIamPolicy 方法发送 POST 请求:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy

替换以下内容:

  • PROJECT_ID:项目的名称或 ID
  • MANAGED_ZONE:要为其设置 IAM 权限的代管区域的名称

检查托管区域的 IAM 权限

使用 managedZone.testIamPermissions 方法发送 POST 请求:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions

替换以下内容:

  • PROJECT_ID:项目的名称或 ID
  • MANAGED_ZONE:您要检查其 IAM 权限的托管区域的名称

后续步骤