角色与权限

本页介绍了 Cloud Domains API 角色以及 Cloud Domains 中提供的访问权限控制选项。

Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的更细化访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最低权限安全原则,您只需授予对您资源的必要访问权限。IAM 允许您通过设置 IAM 政策来控制谁对哪些资源具有什么访问权限。您可以使用 IAM 政策向用户授予特定角色,从而给予用户特定权限。

例如,特定用户可能需要创建和修改网域的联系信息设置,因此您可以向该用户授予 Cloud Domains Admin 角色 (roles/domains.admin)。另一方面,用户可能只需要查看现有资源网域,因此他们将获得 Cloud Domains Viewer 角色 (roles/domains.viewer)。对于 Cloud Domains,您可以同时配置项目级和资源级访问权限。

以下是“查看者”角色的部分权限示例:

  • 查看项目中注册的所有网域。
  • 查看注册详情,例如 DNS 或到期时间。
  • 搜索域名可用性并获取注册参数。

以下是 Admin 角色的部分权限示例:

  • 注册新网域。
  • 更新注册设置,包括 DNS 设置和联系人设置。

如需了解角色类型,请参阅 IAM 基本角色和预定义角色参考文档

启用 Cloud Domains API

如需查看和分配 Cloud Domains IAM 角色,您必须为项目启用 Cloud Domains API。在启用此 API 之前,您无法在 Google Cloud 控制台中看到 Cloud Domains 角色。

启用 API

如需查看 Cloud Domains 支持的角色和权限列表,请参阅以下各部分。

角色

下表列出了 Cloud Domains API IAM 角色及每个角色包含的所有权限的相应列表。每个权限适用于特定的资源类型。如需详细了解每项权限,请参阅权限部分。

Role Permissions

(roles/domains.admin)

Full access to Cloud Domains Registrations and related resources.

domains.*

  • domains.locations.get
  • domains.locations.list
  • domains.operations.cancel
  • domains.operations.get
  • domains.operations.list
  • domains.registrations.configureContact
  • domains.registrations.configureDns
  • domains.registrations.configureManagement
  • domains.registrations.create
  • domains.registrations.createTagBinding
  • domains.registrations.delete
  • domains.registrations.deleteTagBinding
  • domains.registrations.get
  • domains.registrations.getIamPolicy
  • domains.registrations.list
  • domains.registrations.listEffectiveTags
  • domains.registrations.listTagBindings
  • domains.registrations.setIamPolicy
  • domains.registrations.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/domains.viewer)

Read-only access to Cloud Domains Registrations and related resources.

domains.locations.*

  • domains.locations.get
  • domains.locations.list

domains.operations.get

domains.operations.list

domains.registrations.get

domains.registrations.getIamPolicy

domains.registrations.list

domains.registrations.listEffectiveTags

domains.registrations.listTagBindings

resourcemanager.projects.get

resourcemanager.projects.list

权限

下表列出了调用者调用每个方法必须具备的权限。

方法 (locations.registrations.) 说明 所需权限
searchDomains 搜索可用的域名。 domains.registrations.list
retrieveRegisterParameters 获取用于注册新网域的参数。 domains.registrations.list
register 注册域名。 domains.registrations.create
list 列出项目中的注册资源。 domains.registrations.list
get 获取注册资源的详细信息。 domains.registrations.get
patch 修改注册资源的详细信息。 domains.registrations.update
configureManagementSettings 配置注册资源的管理设置。 domains.registrations.configureManagement
configureDnsSettings 配置注册资源的 DNS 设置。 domains.registrations.configureDns
configureContactSettings 配置注册资源的联系人设置。 domains.registrations.configureContact
删除 删除域名。 domains.registrations.delete
retrieveAuthorizationCode 检索域名转移的授权代码。 domains.registrations.configureManagement
resetAuthorizationCode 重置域名转移的授权代码。 domains.registrations.configureManagement
renewDomain 续期过去 30 天内过期的域名。 domains.registrations.configureManagement
initiatePushTransfer .uk.co.uk 域名转移到其他注册商。 domains.registrations.configureManagement

使用 Google Cloud 控制台进行访问权限控制

您可以使用 Google Cloud 控制台来管理项目的访问权限控制。

如需了解详细说明,请参阅管理对项目、文件夹和组织的访问权限

后续步骤

  • 如需开始使用 Cloud Domains,请参阅快速入门
  • 如需提高 Cloud Domains 配置的安全性,请参阅 VPC Service Controls 支持
  • 如需了解您在使用 Cloud Domains 时可能会遇到的常见问题的解决方案,请参阅问题排查