Trang này cung cấp hướng dẫn về cách thiết lập các quyền Quản lý danh tính và quyền truy cập (IAM) cụ thể về quyền đọc, ghi hoặc quản trị viên cho các vùng được quản lý khác nhau trong cùng một dự án.
Để biết thông tin chi tiết về các chính sách IAM, hãy xem bài viết Tìm hiểu về các chính sách cho phép. Để biết thông tin về API chính sách IAM, hãy xem Policy. Để tìm hiểu cách tạo vai trò tuỳ chỉnh IAM mà bạn có thể sử dụng trên các vùng được quản lý, hãy xem bài viết Tìm hiểu về vai trò tuỳ chỉnh IAM.
Quy trình này giả định rằng bạn đã tạo một vùng được quản lý trong một dự án. Để biết hướng dẫn về cách tạo vùng được quản lý, hãy xem bài viết Tạo, sửa đổi và xoá vùng.
Thiết lập chính sách IAM cho một vùng được quản lý
Để đặt chính sách IAM trên một vùng được quản lý cụ thể, hãy làm theo các bước sau.
Bảng điều khiển
Trong bảng điều khiển Trusted Cloud , hãy chuyển đến trang Cloud DNS zones (Vùng Cloud DNS).
Chọn một hoặc nhiều vùng mà bạn muốn thêm quyền kiểm soát truy cập.
Trên trang Quyền đối với tài nguyên, hãy nhấp vào Thêm chủ thể.
Trên trang Cấp quyền truy cập vào tài nguyên, trong phần Bên giao đại lý mới, hãy thêm địa chỉ email của người dùng, nhóm, miền hoặc tài khoản dịch vụ mà bạn muốn thêm làm bên giao đại lý mới.
Trong danh sách Chỉ định vai trò, hãy chọn vai trò mà bạn muốn chỉ định cho người dùng chính.
Để chỉ định các vai trò khác, hãy nhấp vào Thêm vai trò khác.
Nhấp vào Lưu.
gcloud
Chạy lệnh gcloud dns managed-zones set-iam-policy:
gcloud dns managed-zones set-iam-policy NAME \ --policy-file=POLICY-FILE
Thay thế nội dung sau:
NAME: tên của vùng được quản lý mà bạn muốn đặt quyền IAMPOLICY-FILE: tệp chứa chính sách IAM mà bạn muốn chỉ định cho vùng được quản lý. Để biết ví dụ về tệp chính sách, hãy xem phần Chính sách
Nếu chạy thành công, lệnh này sẽ trả về chính sách IAM. Nếu không, hàm này sẽ trả về thông báo lỗi chỉ định lỗi.
Giao diện lập trình ứng dụng (API)
Gửi yêu cầu POST bằng cách sử dụng phương thức managedZone.setIamPolicy:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/MANAGED_ZONE:setIamPolicy
Thay thế nội dung sau:
PROJECT_ID: tên hoặc mã nhận dạng của dự ánMANAGED_ZONE: tên của vùng được quản lý mà bạn muốn đặt quyền IAM
Để biết thông tin chi tiết về lệnh gọi API này, hãy xem phần Liên kết trên trang API Policy của IAM.
Nhận chính sách IAM cho một vùng được quản lý
Để xem chính sách IAM cho một vùng được quản lý cụ thể, hãy làm theo các bước sau.
gcloud
Chạy lệnh gcloud dns managed-zones get-iam-policy:
gcloud dns managed-zones get-iam-policy NAME
Thay thế NAME bằng tên của vùng được quản lý mà bạn muốn lấy chính sách IAM.
Nếu chạy thành công, lệnh này sẽ trả về chính sách IAM. Nếu không, hàm này sẽ trả về thông báo lỗi chỉ định lỗi.
Giao diện lập trình ứng dụng (API)
Gửi yêu cầu POST bằng cách sử dụng phương thức managedZone.getIamPolicy:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:getIamPolicy
Thay thế nội dung sau:
PROJECT_ID: tên hoặc mã nhận dạng của dự ánMANAGED_ZONE: tên của vùng được quản lý mà bạn muốn đặt quyền IAM
Kiểm tra quyền IAM cho một vùng được quản lý
Gửi yêu cầu POST bằng cách sử dụng phương thức managedZone.testIamPermissions:
POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ManagedZone:testIamPermissions
Thay thế nội dung sau:
PROJECT_ID: tên hoặc mã nhận dạng của dự ánMANAGED_ZONE: tên của vùng được quản lý mà bạn muốn kiểm tra quyền IAM
Bước tiếp theo
- Để làm việc với các vùng được quản lý, hãy xem phần Tạo, sửa đổi và xoá vùng.
- Để tìm giải pháp cho các vấn đề thường gặp mà bạn có thể gặp phải khi sử dụng Cloud DNS, hãy xem phần Khắc phục sự cố.
- Để biết thông tin tổng quan về Cloud DNS, hãy xem bài viết Tổng quan về Cloud DNS.