Vai trò và quyền

Trusted Cloud by S3NS cung cấp tính năng Quản lý danh tính và quyền truy cập (IAM), cho phép bạn cấp quyền truy cập chi tiết hơn vào các tài nguyên Trusted Cloud cụ thể và ngăn chặn quyền truy cập không mong muốn vào các tài nguyên khác. Trang này mô tả các vai trò của API Cloud DNS. Để biết nội dung mô tả chi tiết về IAM, hãy xem tài liệu về Quản lý danh tính và quyền truy cập.

IAM cho phép bạn áp dụng nguyên tắc bảo mật về đặc quyền tối thiểu để chỉ cấp quyền truy cập cần thiết vào tài nguyên của bạn.

IAM cho phép bạn kiểm soát aiquyền gì đối với tài nguyên nào bằng cách đặt chính sách IAM. Chính sách IAM cấp các vai trò cụ thể cho người dùng, đồng thời cấp cho người dùng một số quyền nhất định. Ví dụ: một người dùng cụ thể có thể cần tạo và sửa đổi tài nguyên bản ghi Hệ thống tên miền (DNS). Sau đó, bạn sẽ cấp cho người dùng đó (who) vai trò /roles/dns.admin, vai trò này có các quyền dns.changes.createdns.resourceRecordSets.create (what) để họ có thể tạo và cập nhật tập hợp bản ghi tài nguyên (which). Ngược lại, một bộ phận hỗ trợ có thể chỉ cần xem các nhóm bản ghi tài nguyên hiện có, vì vậy, họ sẽ nhận được vai trò /roles/dns.reader.

Cloud DNS hỗ trợ các quyền IAM ở cấp dự án và cấp vùng DNS riêng lẻ. Quyền mặc định là ở cấp dự án. Để định cấu hình quyền ở cấp vùng DNS (hoặc tài nguyên) riêng lẻ, hãy xem phần Tạo vùng có các quyền IAM cụ thể.

Quyền và vai trò

Mọi phương thức API Cloud DNS đều yêu cầu phương thức gọi phải có các quyền IAM cần thiết. Quyền được chỉ định bằng cách cấp vai trò cho một người dùng, nhóm hoặc tài khoản dịch vụ. Ngoài các vai trò cơ bản là Chủ sở hữu, Người chỉnh sửa và Người xem, bạn có thể cấp các vai trò API Cloud DNS cho người dùng dự án của mình.

Quyền

Bảng sau đây liệt kê các quyền mà phương thức gọi phải có để gọi từng phương thức.

Phương thức (Các) quyền bắt buộc
dns.changes.create để tạo một tập hợp bản ghi tài nguyên. dns.changes.createdns.resourceRecordSets.create trên dự án chứa tập bản ghi.
dns.changes.create để cập nhật một tập hợp bản ghi tài nguyên. dns.changes.createdns.resourceRecordSets.update trên dự án chứa tập bản ghi.
dns.changes.create để xoá một nhóm bản ghi tài nguyên. dns.changes.createdns.resourceRecordSets.delete trên dự án chứa tập bản ghi.
dns.changes.get dns.changes.get trên dự án chứa vùng được quản lý.
dns.changes.list dns.changes.list trên dự án chứa vùng được quản lý.
dns.dnsKeys.get dns.dnsKeys.get trên dự án chứa vùng được quản lý.
dns.dnsKeys.list dns.dnsKeys.list trên dự án chứa vùng được quản lý.
dns.managedZoneOperations.get dns.managedZoneOperations.get trên dự án chứa vùng được quản lý.
dns.managedZoneOperations.list dns.managedZoneOperations.list trên dự án chứa vùng được quản lý.
dns.managedZones.create dns.managedZones.create trên dự án chứa vùng được quản lý.

Nếu đang tạo một vùng riêng tư, bạn cũng cần có dns.networks.bindPrivateDNSZonedns.networks.targetWithPeeringZone trên mỗi dự án có mạng VPC được uỷ quyền truy cập vào vùng đó.

Nếu đang tạo một vùng riêng tư có tích hợp GKE, bạn cũng cần có dns.gkeClusters.bindPrivateDNSZone để định cấu hình phạm vi cụm GKE.
dns.managedZones.delete dns.managedZones.delete trên dự án chứa vùng được quản lý.
dns.managedZones.get dns.managedZones.get trên dự án chứa vùng được quản lý.
dns.managedZones.list dns.managedZones.list trên dự án chứa vùng được quản lý.
dns.managedZones.update dns.managedZones.update trên dự án chứa vùng được quản lý.

Nếu đang tạo một vùng riêng tư, bạn cũng cần có dns.networks.bindPrivateDNSZonedns.networks.targetWithPeeringZone trên mỗi dự án có mạng VPC được uỷ quyền truy cập vào vùng đó.

Nếu đang tạo một vùng riêng tư có tích hợp GKE, bạn cũng cần có dns.gkeClusters.bindPrivateDNSZone để định cấu hình phạm vi cụm GKE.
dns.policies.create dns.policies.create trên dự án chứa chính sách.

Nếu chính sách được tạo trên mạng VPC, bạn cũng cần dns.networks.bindPrivateDNSPolicy cho mỗi dự án chứa từng mạng VPC.
dns.policies.delete dns.policies.delete trên dự án chứa chính sách.
dns.policies.get dns.policies.get trên dự án chứa chính sách.
dns.policies.list dns.policies.list trên dự án chứa chính sách.
dns.policies.update dns.policies.update trên dự án chứa chính sách.

Nếu chính sách được cập nhật để áp dụng cho mạng VPC, bạn cũng cần có dns.networks.bindPrivateDNSPolicy cho từng dự án chứa từng mạng VPC.
dns.projects.get dns.projects.get trên dự án.
dns.resourceRecordSets.create dns.resourceRecordSets.create trên dự án chứa tập bản ghi.
dns.resourceRecordSets.delete dns.resourceRecordSets.delete trên dự án chứa tập bản ghi.
dns.resourceRecordSets.get dns.resourceRecordSets.get trên dự án chứa tập bản ghi.
dns.resourceRecordSets.list dns.resourceRecordSets.list trên dự án chứa vùng được quản lý.
dns.resourceRecordSets.update dns.resourceRecordSets.updatedns.changes.create trên dự án chứa tập hợp bản ghi.
dns.responsePolicies.create dns.responsePolicies.create trên dự án chứa chính sách phản hồi.

Bạn cũng cần có dns.networks.bindDNSResponsePolicy để xác thực yêu cầu.

Nếu muốn tạo chính sách phản hồi đính kèm vào một cụm GKE, bạn cần có dns.gkeClusters.bindDNSResponsePolicy.

dns.responsePolicies.delete dns.responsePolicies.delete trên dự án chứa chính sách phản hồi.
dns.responsePolicies.get dns.responsePolicies.get trên dự án chứa chính sách phản hồi.
dns.responsePolicies.list dns.responsePolicies.list trên dự án.
dns.responsePolicies.update dns.responsePolicies.update trên dự án chứa chính sách phản hồi.

Bạn cũng cần có dns.networks.bindDNSResponsePolicy để xác thực yêu cầu.

Nếu muốn tạo chính sách phản hồi đính kèm vào một cụm GKE, bạn cần có dns.gkeClusters.bindDNSResponsePolicy.
dns.responsePolicyRules.create dns.responsePolicyRules.create trên dự án chứa quy tắc chính sách phản hồi.
dns.responsePolicyRules.delete dns.responsePolicyRules.delete trên dự án chứa quy tắc chính sách phản hồi.
dns.responsePolicyRules.get dns.responsePolicyRules.get trên dự án chứa quy tắc chính sách phản hồi.
dns.responsePolicyRules.list dns.responsePolicyRules.list trên dự án chứa chính sách phản hồi.
dns.responsePolicyRules.update dns.responsePolicyRules.update trên dự án chứa quy tắc chính sách phản hồi.

Vai trò

Bảng sau đây liệt kê các vai trò IAM của Cloud DNS API cùng với danh sách tương ứng gồm tất cả các quyền mà mỗi vai trò có. Mỗi quyền đều áp dụng cho một loại tài nguyên cụ thể.

Bạn cũng có thể sử dụng các vai trò cơ bản để thực hiện các thay đổi về DNS.

Role Permissions

(roles/dns.admin)

Provides read-write access to all Cloud DNS resources.

Lowest-level resources where you can grant this role:

  • Managed zone

compute.networks.get

compute.networks.list

dns.changes.*

  • dns.changes.create
  • dns.changes.get
  • dns.changes.list

dns.dnsKeys.*

  • dns.dnsKeys.get
  • dns.dnsKeys.list

dns.gkeClusters.*

  • dns.gkeClusters.bindDNSResponsePolicy
  • dns.gkeClusters.bindPrivateDNSZone

dns.managedZoneOperations.*

  • dns.managedZoneOperations.get
  • dns.managedZoneOperations.list

dns.managedZones.create

dns.managedZones.delete

dns.managedZones.get

dns.managedZones.getIamPolicy

dns.managedZones.list

dns.managedZones.update

dns.networks.*

  • dns.networks.bindDNSResponsePolicy
  • dns.networks.bindPrivateDNSPolicy
  • dns.networks.bindPrivateDNSZone
  • dns.networks.targetWithPeeringZone
  • dns.networks.useHealthSignals

dns.policies.*

  • dns.policies.create
  • dns.policies.delete
  • dns.policies.get
  • dns.policies.list
  • dns.policies.update

dns.projects.get

dns.resourceRecordSets.*

  • dns.resourceRecordSets.create
  • dns.resourceRecordSets.delete
  • dns.resourceRecordSets.get
  • dns.resourceRecordSets.list
  • dns.resourceRecordSets.update

dns.responsePolicies.*

  • dns.responsePolicies.create
  • dns.responsePolicies.delete
  • dns.responsePolicies.get
  • dns.responsePolicies.list
  • dns.responsePolicies.update

dns.responsePolicyRules.*

  • dns.responsePolicyRules.create
  • dns.responsePolicyRules.delete
  • dns.responsePolicyRules.get
  • dns.responsePolicyRules.list
  • dns.responsePolicyRules.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/dns.peer)

Access to target networks with DNS peering zones

dns.networks.targetWithPeeringZone

(roles/dns.reader)

Provides read-only access to all Cloud DNS resources.

Lowest-level resources where you can grant this role:

  • Managed zone

compute.networks.get

dns.changes.get

dns.changes.list

dns.dnsKeys.*

  • dns.dnsKeys.get
  • dns.dnsKeys.list

dns.managedZoneOperations.*

  • dns.managedZoneOperations.get
  • dns.managedZoneOperations.list

dns.managedZones.get

dns.managedZones.list

dns.policies.get

dns.policies.list

dns.projects.get

dns.resourceRecordSets.get

dns.resourceRecordSets.list

dns.responsePolicies.get

dns.responsePolicies.list

dns.responsePolicyRules.get

dns.responsePolicyRules.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/dns.serviceAgent)

Gives Cloud DNS Service Agent access to Cloud Platform resources.

compute.globalNetworkEndpointGroups.attachNetworkEndpoints

compute.globalNetworkEndpointGroups.create

compute.globalNetworkEndpointGroups.delete

compute.globalNetworkEndpointGroups.detachNetworkEndpoints

compute.globalNetworkEndpointGroups.get

compute.globalOperations.get

compute.healthChecks.get

Quản lý quyền kiểm soát truy cập

Bạn có thể sử dụng bảng điều khiển Trusted Cloud để quản lý quyền kiểm soát truy cập cho các chủ đề và dự án của mình.

Để đặt chế độ kiểm soát quyền truy cập ở cấp dự án, hãy làm theo các bước sau.

Bảng điều khiển

  1. Trong bảng điều khiển Trusted Cloud , hãy chuyển đến trang IAM.

    Chuyển đến trang IAM

  2. Chọn dự án của bạn trong trình đơn thả xuống ở trên cùng.

  3. Nhấp vào Thêm.

  4. Trong phần Bên giao đại lý mới, hãy nhập địa chỉ email của bên giao đại lý mới.

  5. Chọn một vai trò trong danh sách.

  6. Nhấp vào Lưu.

  7. Xác minh rằng người dùng chính được liệt kê với vai trò mà bạn đã cấp.

Bước tiếp theo