Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Definir y gestionar políticas de gestión de identidades y accesos para zonas gestionadas

En esta página se explica cómo configurar permisos de lectura, escritura o administrador específicos de Gestión de Identidades y Accesos (IAM) para diferentes zonas gestionadas en el mismo proyecto.

Para obtener información detallada sobre las políticas de gestión de identidades y accesos, consulta el artículo Información sobre las políticas de permiso. Para obtener información sobre la API de políticas de IAM, consulta Policy. Para saber cómo crear roles personalizados de gestión de identidades y accesos que puedas usar en tus zonas gestionadas, consulta el artículo Conocer los roles personalizados de gestión de identidades y accesos.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

dns.managedZones.setIamPolicy del método setIamPolicy
dns.managedZones.getIamPolicy del método getIamPolicy
dns.managedZones.list del método testIamPermission

Roles

roles/iam.securityAdmin
roles/dns.admin

En este procedimiento se da por hecho que has creado una zona gestionada en un proyecto. Para obtener instrucciones sobre cómo crear una zona gestionada, consulta el artículo Crear, modificar y eliminar zonas.

Definir una política de gestión de identidades y accesos para una zona gestionada

Para definir la política de IAM en una zona gestionada específica, sigue estos pasos.

Consola

En la Trusted Cloud consola, ve a la página Zonas de Cloud DNS.

Ir a las zonas de Cloud DNS
Selecciona una o varias zonas a las que quieras añadir permisos de control de acceso.
En la página Permisos de recursos, haga clic en Añadir principal.
En la página Conceder acceso al recurso, en Principales nuevos, añade la dirección de correo del usuario, grupo, dominio o cuenta de servicio que quieras añadir como principal nuevo.
En la lista Asignar roles, selecciona el rol que quieras asignar al principal.
Para asignar más roles, haz clic en Añadir otro rol.
Haz clic en Guardar.

gcloud

Ejecuta el gcloud dns managed-zones set-iam-policy comando:

gcloud dns managed-zones set-iam-policy NAME \
  --policy-file=POLICY-FILE

Haz los cambios siguientes:

NAME: el nombre de la zona gestionada para la que quieres definir el permiso de gestión de identidades y accesos
POLICY-FILE: el archivo que contiene la política de IAM que quieres especificar para la zona gestionada. Para ver un ejemplo de archivo de política, consulta Política.

Si este comando se ejecuta correctamente, devuelve la política de IAM. De lo contrario, devuelve un mensaje de error que especifica el error.

API

Envía una solicitud POST mediante el método managedZone.setIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy

Haz los cambios siguientes:

PROJECT_ID: el nombre o el ID del proyecto
MANAGED_ZONE: el nombre de la zona gestionada para la que quieres definir el permiso de gestión de identidades y accesos

Para obtener información detallada sobre esta llamada a la API, consulta Binding en la página de la API Policy de IAM.

Obtener la política de gestión de identidades y accesos de una zona gestionada

Para obtener la política de IAM de una zona gestionada específica, sigue estos pasos.

gcloud

Ejecuta el gcloud dns managed-zones get-iam-policy comando:

gcloud dns managed-zones get-iam-policy NAME

Sustituye NAME por el nombre de la zona gestionada de la que quieras obtener la política de gestión de identidades y accesos.

Si este comando se ejecuta correctamente, devuelve la política de IAM. De lo contrario, devuelve un mensaje de error que especifica el error.

API

Envía una solicitud POST mediante el método managedZone.getIamPolicy:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy

Haz los cambios siguientes:

PROJECT_ID: el nombre o el ID del proyecto
MANAGED_ZONE: el nombre de la zona gestionada para la que quieres definir el permiso de gestión de identidades y accesos

Comprobar los permisos de gestión de identidades y accesos de una zona gestionada

Envía una solicitud POST mediante el método managedZone.testIamPermissions:

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions

Haz los cambios siguientes:

PROJECT_ID: el nombre o el ID del proyecto
MANAGED_ZONE: el nombre de la zona gestionada para la que quieres comprobar el permiso de gestión de identidades y accesos

Siguientes pasos

Para trabajar con zonas gestionadas, consulta Crear, modificar y eliminar zonas.
Para encontrar soluciones a problemas habituales que pueden surgir al usar Cloud DNS, consulta la sección Solución de problemas.
Para obtener una descripción general de Cloud DNS, consulta el artículo Información general sobre Cloud DNS.