このページでは、Cloud Domains API の役割と、Cloud Domains で使用可能なアクセス制御オプションについて説明します。
Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。 IAM では、IAM ポリシーを設定して、誰に、どのリソースに対するどのアクセス権付与するかを制御できます。IAM ポリシーは、特定のロールをユーザーに付与することで、そのユーザーに特定の権限を付与します。
たとえば、特定のユーザーがドメインの連絡先の設定を作成および変更する必要がある場合などは、そのユーザーに Cloud Domains 管理者のロール(roles/domains.admin
)を付与します。一方、ユーザーが既存のリソース ドメインのみを表示する場合は、Cloud Domains 閲覧者のロール(roles/domains.viewer
)を付与します。Cloud Domains では、プロジェクト レベルとリソースレベルの両方のアクセスを構成できます。
閲覧者ロールの権限の例を以下に示します。
- プロジェクトに登録されているすべてのドメインを表示します。
- DNS や有効期限などの登録の詳細を表示します。
- ドメインの利用状況を検索し、登録パラメータを取得します。
管理者ロールの権限の例を次に示します。
- 新しいドメインを登録します。
- DNS 設定や連絡先設定などの登録設定を更新します。
ロールの種類については、IAM の基本ロールと事前定義ロールのリファレンスをご覧ください。
Cloud Domains API を有効にする
Cloud Domains IAM ロールを表示して割り当てるには、プロジェクトに対して Cloud Domains API を有効にする必要があります。API を有効にするまで、Google Cloud コンソールで Cloud Domains のロールを表示できません。
Cloud Domains でサポートされるロールと権限のリストについては、次のセクションをご覧ください。
ロール
次の表に、Cloud Domains API IAM のロールと、各ロールに含まれているすべての権限の対応するリストを示します。各権限は、それぞれ特定のリソースタイプを対象としています。各権限の詳細については、権限のセクションをご覧ください。
Role | Permissions |
---|---|
Cloud Domains Admin( Full access to Cloud Domains Registrations and related resources. |
|
Cloud Domains Viewer( Read-only access to Cloud Domains Registrations and related resources. |
|
権限
発信者が各メソッドを呼び出す際に必要となる権限のリストを次の表に示します。
メソッド(ocations.registrations.) | 説明 | 必要な権限 |
---|---|---|
searchDomains | 使用できるドメインを検索します。 | domains.registrations.list |
retrieveRegisterParameters | 新しいドメインを登録するためのパラメータを取得します。 | domains.registrations.list |
register | ドメインを登録します。 | domains.registrations.create |
list | プロジェクト内の登録リソースを一覧表示します。 | domains.registrations.list |
get | 登録リソースの詳細を取得します。 | domains.registrations.get |
patch | 登録リソースの詳細を編集します。 | domains.registrations.update |
configureManagementSettings | 登録リソースの管理設定を構成します。 | domains.registrations.configureManagement |
configureDnsSettings | 登録リソースの DNS 設定を構成します。 | domains.registrations.configureDns |
configureContactSettings | 登録リソースの連絡先設定を構成します。 | domains.registrations.configureContact |
delete | ドメインを削除します。 | domains.registrations.delete |
retrieveAuthorizationCode | ドメイン移管の認証コードを取得します。 | domains.registrations.configureManagement |
resetAuthorizationCode | ドメイン移管の認証コードをリセットします。 | domains.registrations.configureManagement |
renewDomain | 過去 30 日以内に期限切れになったドメインを更新します。 | domains.registrations.configureManagement |
initiatePushTransfer | .uk または .co.uk のドメインを別の登録事業者に移管します。 |
domains.registrations.configureManagement |
Google Cloud コンソールを使用したアクセス制御
Google Cloud コンソールを使用して、プロジェクトのアクセス制御を管理できます。
詳しい手順については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
次のステップ
- Cloud Domains の使用を開始するには、クイックスタートをご覧ください。
- Cloud Domains 構成のセキュリティを強化するには、VPC Service Controls のサポートをご覧ください。
- Cloud Domains の使用時に発生する可能性のある一般的な問題の解決策については、トラブルシューティングをご覧ください。