本頁面提供操作說明,說明如何為同一專案中的不同代管可用區設定特定的讀取、寫入或管理員身分與存取權管理 (IAM) 權限。
如要進一步瞭解 IAM 政策,請參閱「瞭解允許政策」。如要瞭解 IAM 政策 API,請參閱 Policy。如要瞭解如何建立可在受管理區域中使用的 IAM 自訂角色,請參閱「瞭解 IAM 自訂角色」。
本程序假設您已在專案中建立代管區域。如需建立管理區域的操作說明,請參閱「建立、修改及刪除區域」。
設定受管理區域的身分與存取權管理政策
如要在特定代管可用區設定身分與存取權管理政策,請按照下列步驟操作。
主控台
前往 Google Cloud 控制台的「Cloud DNS 區域」頁面。
選取要新增存取控管權限的一或多個區域。
在「資源權限」頁面中,按一下「新增主體」。
在「Grant access to resource」(授予資源存取權) 頁面的「New principals」(新主體) 下方,新增您要新增為新主體的使用者、群組、網域或服務帳戶的電子郵件地址。
在「指派角色」清單中,選取要指派給主體的角色。
如要指派其他角色,請按一下「新增其他角色」。
按一下 [儲存]。
gcloud
執行 gcloud dns managed-zones set-iam-policy 指令:
gcloud dns managed-zones set-iam-policy NAME \ --policy-file=POLICY-FILE
更改下列內容:
NAME:您要設定 IAM 權限的代管區域名稱POLICY-FILE:包含您要為受管理區指定的 IAM 政策的檔案。如需政策檔案範例,請參閱「政策」
如果指令執行成功,就會傳回身分與存取權管理政策。否則會傳回指定錯誤的錯誤訊息。
API
使用 managedZone.setIamPolicy 方法傳送 POST 要求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy
更改下列內容:
PROJECT_ID:專案名稱或 IDMANAGED_ZONE:要設定 IAM 權限的代管可用區名稱
如要進一步瞭解此 API 呼叫,請參閱 IAM Policy API 頁面中的「Binding」一節。
取得受管理區域的身分與存取權管理政策
如要取得特定管理式區域的身分與存取權管理政策,請按照下列步驟操作。
gcloud
執行 gcloud dns managed-zones get-iam-policy 指令:
gcloud dns managed-zones get-iam-policy NAME
將 NAME 替換為您要取得 IAM 政策的代管區域名稱。
如果指令執行成功,就會傳回身分與存取權管理政策。否則會傳回指定錯誤的錯誤訊息。
API
使用 managedZone.getIamPolicy 方法傳送 POST 要求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy
更改下列內容:
PROJECT_ID:專案名稱或 IDMANAGED_ZONE:要設定 IAM 權限的代管可用區名稱
檢查代管區域的 IAM 權限
使用 managedZone.testIamPermissions 方法傳送 POST 要求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions
更改下列內容:
PROJECT_ID:專案名稱或 IDMANAGED_ZONE:您要檢查 IAM 權限的代管區域名稱
後續步驟
- 如要使用受管理的區域,請參閱「建立、修改及刪除區域」。
- 如要找出使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱「疑難排解」。
- 如要瞭解 Cloud DNS 的總體概況,請參閱 Cloud DNS 總覽。