有没有一种方法可以将 Google Cloud IAM 服务帐户仅限于 Coud DNS 中的一个区域?我想使用它来自动颁发 ACME DNS-01 证书,但我不想添加对所有域/区域的完全控制。我尝试将条件设置为服务帐户,但它不起作用 - 区域名称可能不是资源?
文档说最低的资源是项目,因此确保 acme 挑战的唯一可能性是为该域拥有拥有自己的服务帐户的单独项目? https://cloud.google.com/dns/docs/access-control
如果您查看 Cloud DNS API,您会发现没有 API 路径包含
getIamPolicy
或 setIamPolicy
。这表明您无法在资源级别定义 IAM 权限,而只能在项目级别定义:访问或不访问整个 API。
因此,您不能将区域的管理限制为专用服务帐户。但是,您可以创建另一个项目并在所需的管理区域上执行 DNS 对等互连,并仅授予该项目上的服务帐户。
自撰写本文以来,Google CloudDNS 推出了一项新功能!
https://cloud.google.com/dns/docs/zones/iam-per-resource-zones