בדף הזה מוסבר איך מגדירים הרשאות ספציפיות של קריאה, כתיבה או אדמין לניהול זהויות והרשאות גישה (IAM) לאזורים מנוהלים שונים באותו פרויקט.
מידע מפורט על מדיניות IAM מופיע במאמר הסבר על מדיניות הרשאות. מידע על IAM Policy API זמין במאמר Policy. במאמר הסבר על תפקידים בהתאמה אישית ב-IAM מוסבר איך יוצרים תפקידים בהתאמה אישית ב-IAM שאפשר להשתמש בהם באזורים מנוהלים.
ההליך הזה מניח שיצרתם אזור מנוהל בפרויקט. הוראות ליצירת אזור מנוהל מופיעות במאמר יצירה, שינוי ומחיקה של אזורים.
הגדרת מדיניות IAM לאזור מנוהל
כדי להגדיר את מדיניות IAM באזור מנוהל ספציפי, פועלים לפי השלבים הבאים.
המסוף
נכנסים לדף Cloud DNS zones במסוף Google Cloud .
בוחרים אזור אחד או יותר שרוצים להוסיף להם הרשאות של בקרת גישה.
בדף Permissions to resources, לוחצים על Add principal.
בדף Grant access to resource, בקטע New principals, מוסיפים את כתובת האימייל של המשתמש, הקבוצה, הדומיין או חשבון השירות שרוצים להוסיף כגורם החדש.
ברשימה Assign roles, בוחרים את התפקיד שרוצים להקצות לחשבון המשתמש.
כדי להקצות עוד תפקידים, לוחצים על Add another role.
לוחצים על Save.
gcloud
מריצים את הפקודה gcloud dns managed-zones set-iam-policy:
gcloud dns managed-zones set-iam-policy NAME \ --policy-file=POLICY-FILE
מחליפים את מה שכתוב בשדות הבאים:
-
NAME: השם של האזור המנוהל שעבורו רוצים להגדיר את הרשאת ה-IAM -
POLICY-FILE: הקובץ שמכיל את מדיניות ה-IAM שרוצים לציין לאזור המנוהל. דוגמה לקובץ מדיניות מופיעה במאמר מדיניות.
אם הפקודה הזו מופעלת בהצלחה, היא מחזירה את מדיניות IAM. אחרת, תוחזר הודעת שגיאה עם פירוט השגיאה.
API
שולחים בקשת POST באמצעות השיטה managedZone.setIamPolicy:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: השם או המזהה של הפרויקט -
MANAGED_ZONE: השם של האזור המנוהל שעבורו רוצים להגדיר את הרשאת ה-IAM
מידע מפורט על הקריאה הזו ל-API מופיע בקטע Binding בדף IAM Policy API.
קבלת מדיניות IAM עבור אזור מנוהל
כדי לקבל את מדיניות IAM של אזור מנוהל ספציפי, פועלים לפי השלבים הבאים.
gcloud
מריצים את הפקודה gcloud dns managed-zones get-iam-policy:
gcloud dns managed-zones get-iam-policy NAME
מחליפים את NAME בשם של האזור המנוהל שרוצים לקבל את מדיניות ה-IAM שלו.
אם הפקודה הזו מופעלת בהצלחה, היא מחזירה את מדיניות IAM. אחרת, תוחזר הודעת שגיאה עם פירוט השגיאה.
API
שולחים בקשת POST באמצעות השיטה managedZone.getIamPolicy:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: השם או המזהה של הפרויקט -
MANAGED_ZONE: השם של האזור המנוהל שעבורו רוצים להגדיר את הרשאת ה-IAM
בדיקת הרשאות IAM לאזור מנוהל
שולחים בקשת POST באמצעות השיטה managedZone.testIamPermissions:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: השם או המזהה של הפרויקט -
MANAGED_ZONE: השם של האזור המנוהל שרוצים לבדוק את הרשאת ה-IAM שלו
המאמרים הבאים
- מידע נוסף על אזורים מנוהלים זמין במאמר יצירה, שינוי ומחיקה של אזורים.
- כדי למצוא פתרונות לבעיות נפוצות שאתם עשויים להיתקל בהן במהלך השימוש ב-Cloud DNS, אפשר לעיין במאמר בנושא פתרון בעיות.
- בסקירה הכללית על Cloud DNS תוכלו לקרוא על Cloud DNS.