Details zum DNS-Service
In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf den DNS-Service kontrollieren.
Aggregierter Ressourcentyp
dns
Individuelle Ressourcentypen
dns-zones
dns-records
dns-steering-policies
dns-steering-policy-attachments
dns-tsig-keys
dns-views
dns-resolvers
Kommentare
Eine Policy, die <verb> dns
verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>
-Anweisung für die einzelnen individuellen Ressourcentypen.
Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in dns
finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.
Unterstützte Variablen
Der DNS-Service unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten Variablen.
Der Ressourcentyp dns-zones
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.dns-zone.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf bestimmte DNS-Zonen nach OCID kontrollieren. |
target.dns-zone.name
|
Zeichenfolge | Mit dieser Variable können Sie den Zugriff auf bestimmte DNS-Zonen nach Namen kontrollieren. |
target.dns-zone.apex-label
|
Zeichenfolge | Das signifikanteste DNS-Label für die Zielzone. Beispiel: Wenn der Name der Zielzone "service.example.com" ist, wäre der Wert dieser Variable "service". |
target.dns-zone.parent-domain
|
Zeichenfolge | Der Domainname der übergeordneten Zone der Zielzone. |
target.dns.scope
|
Zeichenfolge | Gültige Werte sind "öffentlich" und "privat". |
Der Ressourcentyp dns-records
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.dns-zone.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf bestimmte DNS-Zonen nach OCID kontrollieren. |
target.dns-zone.name
|
Zeichenfolge | Mit dieser Variable können Sie den Zugriff auf bestimmte DNS-Zonen nach Namen kontrollieren. |
target.dns-record.type
|
Liste (Zeichenfolge) | Mit dieser Variablen können Sie den Zugriff auf bestimmte DNS-Datensätze nach Typ kontrollieren. Gültige Werte in der Liste können alle unterstützten DNS-Ressourcentypen sein. Beispiel: "A", "AAAA", "TXT" usw. Siehe Unterstützte Resource Records |
target.dns-domain.name
|
Liste (Zeichenfolge) |
Mit dieser Variable können Sie den Zugriff auf bestimmte Domainnamen kontrollieren. Für die folgenden API-Vorgänge anwendbar:
|
target.dns-zone.source-compartment.id
|
Entity (OCID) |
Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment der DNS-Zone nach OCID kontrollieren. |
target.dns-zone.destination-compartment.id
|
Entity (OCID) |
Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment der DNS-Zone nach OCID kontrollieren. |
Verwenden Sie die Variablen
target.dns-record.type
und target.dns-domain.name
in der Autorisierungs-Policy, um Benutzer beim Ändern von Datensätzen eines bestimmten Typs in einer bestimmten Subdomain einzuschränken. Mit einer Policy wie dieser kann eine bestimmte Benutzergruppe "A"-Datensätze in der Domain "example.com" ändern: Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'}
. Benutzer werden mit diesem Typ von Autorisierungs-Policy nur zur Verwendung von RRSet-API-Vorgängen autorisiert.
Der Ressourcentyp dns-steering-policies
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.dns-steering-policy.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf bestimmte Steuerungs-Policys nach OCID kontrollieren. |
target.dns-steering-policy.display-name
|
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf bestimmte Steuerungs-Policys nach Namen kontrollieren. |
target.dns-steering-policy.source-compartment.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment der Steuerungs-Policy nach OCID kontrollieren. |
target.dns-steering-policy.destination-compartment.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment der Steuerungs-Policy nach OCID kontrollieren. |
Der Ressourcentyp dns-tsig-keys
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.dns-tsig-key.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf bestimmte TSIG-Schlüssel nach OCID kontrollieren. |
target.dns-tsig-key.name
|
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf bestimmte TSIG-Schlüssel nach Namen kontrollieren. |
target.dns-tsig-key.source-compartment.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment eines bestimmten TSIG-Schlüssels nach OCID kontrollieren. |
target.dns-tsig-key.destination-compartment.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment des bestimmten TSIG-Schlüssels nach OCID kontrollieren. |
Der Ressourcentyp dns-view
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.dns-view.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf eine bestimmte Ansicht nach OCID kontrollieren. |
target.dns-view.display-name
|
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf eine bestimmte Ansicht nach Namen kontrollieren. |
target.dns-view.source-compartment.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment einer bestimmten Ansicht nach OCID kontrollieren. |
target.dns-view.destination-compartment.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment der jeweiligen Ansicht nach OCID kontrollieren. |
Der Ressourcentyp dns-resolver
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.dns-resolver.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf bestimmte Resolver nach OCID kontrollieren. |
target.dns-resolver.display-name
|
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf bestimmte Resolver nach Namen kontrollieren. |
target.dns-resolver.source-compartment.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment eines bestimmten Resolvers nach OCID kontrollieren. |
target.dns-resolver.destination-compartment.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment des jeweiligen Resolvers nach OCID kontrollieren. |
Der Ressourcentyp dns-resolver-endpoint
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.dns-resolver-endpoint.name
|
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf bestimmte Resolver-Endpunkte nach Namen kontrollieren. |
Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect
> read
> use
> manage
. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb manage
für den Ressourcentyp dns-records
deckt keine zusätzlichen Berechtigungen oder API-Vorgänge im Vergleich zu dem Verb use
ab.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DNS_ZONE_INSPECT |
|
kein Wert |
read | INSPECT + DNS_ZONE_READ |
GetZone
|
GetZoneRecords
|
use | READ + DNS_ZONE_UPDATE |
UpdateZone
|
|
manage | UPDATE + DNS_ZONE_CREATE DNS_ZONE_DELETE DNS_ZONE_MOVE |
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DNS_RECORD_INSPECT |
kein Wert |
kein Wert |
read | INSPECT + DNS_RECORD_READ |
|
GetZoneRecords
|
use | READ + DNS_RECORD_UPDATE |
|
|
manage | UPDATE + DNS_RECORD_CREATE DNS_RECORD_DELETE |
keine zusätzlichen |
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DNS_STEERING_POLICY_INSPECT |
ListSteeringPolicies
|
kein Wert |
read | INSPECT + DNS_STEERING_POLICY_READ |
GetSteeringPolicy
|
|
use | READ + DNS_POLICY_STEERING_UPDATE |
UpdateSteeringPolicy
|
kein Wert |
manage | UPDATE + DNS_STEERING_POLICY_CREATE DNS_STEERING_POLICY_DELETE DNS_STEERING_POLICY_MOVE |
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DNS_STEERING_ATTACHMENT_INSPECT |
ListSteeringPolicyAttachments
|
kein Wert |
read | INSPECT + DNS_STEERING_ATTACHMENT_READ |
GetSteeringPolicyAttachment
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DNS_TSIG_KEY_INSPECT |
ListTsigKeys
|
kein Wert |
read | INSPECT + DNS_TSIG_KEY_READ |
GetTsigKey
|
kein Wert |
use | READ + DNS_TSIG_KEY_UPDATE |
UpdateTsigKey
|
kein Wert |
manage | USE + DNS_TSIG_KEY_CREATE DNS_TSIG_KEY_DELETE DNS_TSIG_KEY_MOVE |
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DNS_VIEW_INSPECT |
ListViews
|
kein Wert |
read | INSPECT + DNS_VIEW_READ |
GetView
|
kein Wert |
use | READ + DNS_VIEW_UPDATE |
UpdateView
|
kein Wert |
manage | USE + DNS_VIEW_CREATE DNS_VIEW_DELETE DNS_VIEW_MOVE |
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DNS_RESOLVER_INSPECT |
ListResolvers
|
kein Wert |
read | INSPECT + DNS_RESOLVER_READ |
GetResolver
|
kein Wert |
use | READ + DNS_RESOLVER_UPDATE |
UpdateResolver
|
kein Wert |
manage | USE + DNS_RESOLVER_CREATE DNS_RESOLVER_DELETE DNS_RESOLVER_MOVE |
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | DNS_RESOLVER_ENDPOINT_INSPECT |
ListResolverEndpoints
|
kein Wert |
read | INSPECT + DNS_RESOLVER_ENDPOINT_READ |
GetResolverEndpoint
|
kein Wert |
use | READ + DNS_RESOLVER_ENDPOINT_UPDATE |
UpdateResolverEndpoint
|
kein Wert |
manage | USE + DNS_RESOLVER_ENDPOINT_CREATE DNS_RESOLVER_ENDPOINT_DELETE |
|
kein Wert |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
---|---|
ListZones
|
DNS_ZONE_INSPECT |
CreateZone
|
DNS_ZONE_CREATE |
CreateChildZone
|
DNS_ZONE_CREATE und DNS_RECORD_UPDATE |
DeleteZone
|
DNS_ZONE_DELETE |
GetZone
|
DNS_ZONE_READ |
UpdateZone
|
DNS_ZONE_UPDATE |
ChangeZoneCompartment
|
DNS_ZONE_MOVE |
GetZoneRecords
|
DNS_ZONE_READ und DNS_RECORD_READ |
PatchZoneRecords
|
DNS_ZONE_UPDATE und DNS_RECORD_UPDATE |
UpdateZoneRecords
|
DNS_ZONE_UPDATE und DNS_RECORD_UPDATE |
GetDomainRecords
|
DNS_RECORD_READ |
PatchDomainRecords
|
DNS_RECORD_UPDATE |
UpdateDomainRecords
|
DNS_RECORD_UPDATE |
DeleteRRSet
|
DNS_RECORD_UPDATE |
GetRRSet
|
DNS_RECORD_READ |
PatchRRSet
|
DNS_RECORD_UPDATE |
UpdateRRSet
|
DNS_RECORD_UPDATE |
ListSteeringPolicies
|
DNS_STEERING_POLICY_INSPECT |
CreateSteeringPolicy
|
DNS_STEERING_POLICY_CREATE |
GetSteeringPolicy
|
DNS_STEERING_POLICY_READ |
UpdateSteeringPolicy
|
DNS_STEERING_POLICY_UPDATE |
DeleteSteeringPolicy
|
DNS_STEERING_POLICY_DELETE |
ChangeSteeringPolicyCompartment
|
DNS_STEERING_POLICY_MOVE |
ListSteeringPolicyAttachments
|
DNS_STEERING_ATTACHMENT_INSPECT |
CreateSteeringPolicyAttachment
|
DNS_ZONE_UPDATE und DNS_STEERING_POLICY_READ |
GetSteeringPolicyAttachment
|
DNS_STEERING_ATTACHMENT_READ |
UpdateSteeringPolicyAttachment
|
DNS_ZONE_UPDATE und DNS_STEERING_POLICY_READ |
DeleteSteeringPolicyAttachment
|
DNS_ZONE_UPDATE und DNS_STEERING_POLICY_READ |
ListTsigKeys
|
DNS_TSIG_KEY_INSPECT |
CreateTsigKey
|
DNS_TSIG_KEY_CREATE |
GetTsigKey
|
DNS_TSIG_KEY_READ |
UpdateTsigKey
|
DNS_TSIG_KEY_UPDATE |
DeleteTsigKey
|
DNS_TSIG_KEY_DELETE |
ChangeTsigKeyCompartment
|
DNS_TSIG_KEY_MOVE |
ListViews
|
DNS_VIEW_INSPECT |
CreateView
|
DNS_VIEW_CREATE |
GetView
|
DNS_VIEW_READ |
UpdateView
|
DNS_VIEW_UPDATE |
DeleteView
|
DNS_VIEW_DELETE |
ChangeViewCompartment
|
DNS_VIEW_MOVE |
ListResolvers
|
DNS_RESOLVER_INSPECT |
GetResolver
|
DNS_RESOLVER_READ |
UpdateResolver |
DNS_RESOLVER_UPDATE |
ChangeResolverCompartment |
DNS_RESOLVER_MOVE |
ListResolverEndpoints |
DNS_RESOLVER_ENDPOINT_INSPECT und DNS_RESOLVER_READ |
CreateResolverEndpoint |
DNS_RESOLVER_UPDATE und DNS_RESOLVER_ENDPOINT_CREATE |
GetResolverEndpoint |
DNS_RESOLVER_ENDPOINT_READ |
UpdateResolverEndpoint |
DNS_RESOLVER_UPDATE und DNS_RESOLVER_ENDPOINT_UPDATE |
DeleteResolverEndpoint |
DNS_RESOLVER_UPDATE und DNS_RESOLVER_ENDPOINT_DELETE |