本頁面提供操作說明,說明如何為同一專案下的不同代管區域,設定特定的讀取、寫入或管理員身分與存取權管理 (IAM) 權限。
如要進一步瞭解 IAM 政策,請參閱「瞭解允許政策」。如要瞭解 IAM 政策 API,請參閱 Policy。如要瞭解如何建立可在代管區域中使用的 IAM 自訂角色,請參閱「瞭解 IAM 自訂角色」。
本程序假設您已在專案中建立代管區域。如需如何建立代管區域的操作說明,請參閱「建立、修改及刪除區域」。
設定代管區域的 IAM 政策
如要為特定代管區域設定 IAM 政策,請按照下列步驟操作。
控制台
前往 Google Cloud 控制台的「Cloud DNS zones」(Cloud DNS 區域) 頁面。
選取要新增存取控管權限的一或多個區域。
在「Permissions to resources」(資源權限) 頁面中,按一下「Add principal」(新增主體)。
在「Grant access to resource」(授予資源存取權) 頁面的「New principals」(新主體) 下方,新增要新增為新主體的使用者、群組、網域或服務帳戶的電子郵件地址。
在「Assign roles」(指派角色) 清單中,選取要指派給主體的角色。
如要指派更多角色,請按一下「Add another role」(新增其他角色)。
按一下「Save」(儲存)。
gcloud
執行 gcloud dns managed-zones set-iam-policy 指令:
gcloud dns managed-zones set-iam-policy NAME \ --policy-file=POLICY-FILE
更改下列內容:
NAME:要設定 IAM 權限的代管區域名稱POLICY-FILE:包含要為代管區域指定的 IAM 政策的檔案。如需政策檔案範例,請參閱「政策」
如果指令執行成功,則會傳回 IAM 政策。否則會傳回錯誤訊息,說明錯誤原因。
API
請使用 managedZone.setIamPolicy 方法傳送 POST 要求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy
更改下列內容:
PROJECT_ID:專案的名稱或 IDMANAGED_ZONE:要設定 IAM 權限的代管區域名稱
如要進一步瞭解這項 API 呼叫,請參閱 IAM Policy API 頁面的「繫結」。
取得代管區域的 IAM 政策
如要取得特定代管區域的 IAM 政策,請按照下列步驟操作。
gcloud
執行 gcloud dns managed-zones get-iam-policy 指令:
gcloud dns managed-zones get-iam-policy NAME
將 NAME 替換成要取得 IAM 政策的代管區域名稱。
如果指令執行成功,則會傳回 IAM 政策。否則會傳回錯誤訊息,說明錯誤原因。
API
請使用 managedZone.getIamPolicy 方法傳送 POST 要求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy
更改下列內容:
PROJECT_ID:專案的名稱或 IDMANAGED_ZONE:要設定 IAM 權限的代管區域名稱
檢查代管區域的 IAM 權限
請使用 managedZone.testIamPermissions 方法傳送 POST 要求:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions
更改下列內容:
PROJECT_ID:專案的名稱或 IDMANAGED_ZONE:要檢查 IAM 權限的代管區域名稱
後續步驟
- 如要使用代管區域,請參閱「建立、修改及刪除區域」一文。
- 如要瞭解使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱這篇文章。
- 如要查看 Cloud DNS 總覽,請參閱這篇文章。