Oracle Cloud Infrastructure - Dokumentation

Details zum DNS-Service

In diesem Thema werden Details zum Schreiben von Policys beschrieben, die den Zugriff auf den DNS-Service kontrollieren.

Aggregierter Ressourcentyp

dns

Individuelle Ressourcentypen

dns-zones

dns-records

dns-steering-policies

dns-steering-policy-attachments

dns-tsig-keys

dns-views

dns-resolvers

Kommentare

Eine Policy, die <verb> dns verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die einzelnen individuellen Ressourcentypen.

Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in dns finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.

Unterstützte Variablen

Der DNS-Service unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten Variablen.

Der Ressourcentyp dns-zones kann die folgenden Variablen verwenden:

Variable Variablentyp Kommentare
target.dns-zone.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf bestimmte DNS-Zonen nach OCID kontrollieren.
target.dns-zone.name Zeichenfolge Mit dieser Variable können Sie den Zugriff auf bestimmte DNS-Zonen nach Namen kontrollieren.
target.dns-zone.apex-label Zeichenfolge Das signifikanteste DNS-Label für die Zielzone. Beispiel: Wenn der Name der Zielzone "service.example.com" ist, wäre der Wert dieser Variable "service".
target.dns-zone.parent-domain Zeichenfolge Der Domainname der übergeordneten Zone der Zielzone.
target.dns.scope Zeichenfolge Gültige Werte sind "öffentlich" und "privat".

Der Ressourcentyp dns-records kann die folgenden Variablen verwenden:

Variable Variablentyp Kommentare
target.dns-zone.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf bestimmte DNS-Zonen nach OCID kontrollieren.
target.dns-zone.name Zeichenfolge Mit dieser Variable können Sie den Zugriff auf bestimmte DNS-Zonen nach Namen kontrollieren.
target.dns-record.type Liste (Zeichenfolge) Mit dieser Variablen können Sie den Zugriff auf bestimmte DNS-Datensätze nach Typ kontrollieren. Gültige Werte in der Liste können alle unterstützten DNS-Ressourcentypen sein. Beispiel: "A", "AAAA", "TXT" usw. Siehe Unterstützte Resource Records
target.dns-domain.name Liste (Zeichenfolge)

Mit dieser Variable können Sie den Zugriff auf bestimmte Domainnamen kontrollieren. Für die folgenden API-Vorgänge anwendbar:

  • GetDomainRecords
  • PatchDomainRecords
  • UpdateDomainRecords
  • DeleteRRSet
  • GetRRSet
  • PatchRRSet
  • UpdateRRSet
target.dns-zone.source-compartment.id Entity (OCID)

Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment der DNS-Zone nach OCID kontrollieren.
target.dns-zone.destination-compartment.id Entity (OCID)

Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment der DNS-Zone nach OCID kontrollieren.
Hinweis

Verwenden Sie die Variablen target.dns-record.type und target.dns-domain.name in der Autorisierungs-Policy, um Benutzer beim Ändern von Datensätzen eines bestimmten Typs in einer bestimmten Subdomain einzuschränken. Mit einer Policy wie dieser kann eine bestimmte Benutzergruppe "A"-Datensätze in der Domain "example.com" ändern: Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'}. Benutzer werden mit diesem Typ von Autorisierungs-Policy nur zur Verwendung von RRSet-API-Vorgängen autorisiert.

Der Ressourcentyp dns-steering-policies kann die folgenden Variablen verwenden:

Variable Variablentyp Kommentare
target.dns-steering-policy.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf bestimmte Steuerungs-Policys nach OCID kontrollieren.
target.dns-steering-policy.display-name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf bestimmte Steuerungs-Policys nach Namen kontrollieren.
target.dns-steering-policy.source-compartment.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment der Steuerungs-Policy nach OCID kontrollieren.
target.dns-steering-policy.destination-compartment.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment der Steuerungs-Policy nach OCID kontrollieren.

Der Ressourcentyp dns-tsig-keys kann die folgenden Variablen verwenden:

Variable Variablentyp Kommentare
target.dns-tsig-key.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf bestimmte TSIG-Schlüssel nach OCID kontrollieren.
target.dns-tsig-key.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf bestimmte TSIG-Schlüssel nach Namen kontrollieren.
target.dns-tsig-key.source-compartment.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment eines bestimmten TSIG-Schlüssels nach OCID kontrollieren.
target.dns-tsig-key.destination-compartment.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment des bestimmten TSIG-Schlüssels nach OCID kontrollieren.

Der Ressourcentyp dns-view kann die folgenden Variablen verwenden:

Variable Variablentyp Kommentare
target.dns-view.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf eine bestimmte Ansicht nach OCID kontrollieren.
target.dns-view.display-name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf eine bestimmte Ansicht nach Namen kontrollieren.
target.dns-view.source-compartment.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment einer bestimmten Ansicht nach OCID kontrollieren.
target.dns-view.destination-compartment.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment der jeweiligen Ansicht nach OCID kontrollieren.

Der Ressourcentyp dns-resolver kann die folgenden Variablen verwenden:

Variable Variablentyp Kommentare
target.dns-resolver.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf bestimmte Resolver nach OCID kontrollieren.
target.dns-resolver.display-name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf bestimmte Resolver nach Namen kontrollieren.
target.dns-resolver.source-compartment.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das aktuelle Compartment eines bestimmten Resolvers nach OCID kontrollieren.
target.dns-resolver.destination-compartment.id Entity (OCID) Mit dieser Variablen können Sie den Zugriff auf das Ziel-Compartment des jeweiligen Resolvers nach OCID kontrollieren.

Der Ressourcentyp dns-resolver-endpoint kann die folgenden Variablen verwenden:

Variable Variablentyp Kommentare
target.dns-resolver-endpoint.name Zeichenfolge Mit dieser Variablen können Sie den Zugriff auf bestimmte Resolver-Endpunkte nach Namen kontrollieren.

Details für Kombinationen aus Verb + Ressourcentyp

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb manage für den Ressourcentyp dns-records deckt keine zusätzlichen Berechtigungen oder API-Vorgänge im Vergleich zu dem Verb use ab.

dns-zones
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DNS_ZONE_INSPECT

ListZones

kein Wert
read

INSPECT +

DNS_ZONE_READ

 GetZone GetZoneRecords
use

READ +

DNS_ZONE_UPDATE

 UpdateZone

UpdateZoneRecords

PatchZoneRecords

CreateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

manage

UPDATE +

DNS_ZONE_CREATE

DNS_ZONE_DELETE

DNS_ZONE_MOVE

CreateZone

DeleteZone

ChangeZoneCompartment

kein Wert
dns-records
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DNS_RECORD_INSPECT

kein Wert

kein Wert
read

INSPECT +

DNS_RECORD_READ

GetDomainRecords

GetRRSet

GetZoneRecords
use

READ +

DNS_RECORD_UPDATE

PatchDomainRecords

UpdateDomainRecords

DeleteRRSet

PatchRRSet

UpdateRRSet

UpdateZoneRecords

PatchZoneRecords

UpdateSteeringPolicyAttachment

manage

UPDATE +

DNS_RECORD_CREATE

DNS_RECORD_DELETE

keine zusätzlichen

kein Wert
dns-steering-policies
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DNS_STEERING_POLICY_INSPECT

 ListSteeringPolicies

kein Wert
read

INSPECT +

DNS_STEERING_POLICY_READ

 GetSteeringPolicy

UpdateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

use

READ +

DNS_POLICY_STEERING_UPDATE

 UpdateSteeringPolicy

kein Wert
manage

UPDATE +

DNS_STEERING_POLICY_CREATE

DNS_STEERING_POLICY_DELETE

DNS_STEERING_POLICY_MOVE

CreateSteeringPolicy

DeleteSteeringPolicy

ChangeSteeringPolicyCompartment

kein Wert
dns-steering-policy-attachments
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DNS_STEERING_ATTACHMENT_INSPECT

 ListSteeringPolicyAttachments

kein Wert
read

INSPECT +

DNS_STEERING_ATTACHMENT_READ

 GetSteeringPolicyAttachment

kein Wert
dns-tsig-keys
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DNS_TSIG_KEY_INSPECT

 ListTsigKeys

kein Wert
read

INSPECT +

DNS_TSIG_KEY_READ

 GetTsigKey

kein Wert
use

READ +

DNS_TSIG_KEY_UPDATE

 UpdateTsigKey

kein Wert
manage

USE +

DNS_TSIG_KEY_CREATE

DNS_TSIG_KEY_DELETE

DNS_TSIG_KEY_MOVE

CreateTsigKey

DeleteTsigKey

ChangeTsigKeyCompartment

kein Wert
dns-views
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DNS_VIEW_INSPECT

 ListViews

kein Wert
read

INSPECT +

DNS_VIEW_READ

 GetView

kein Wert
use

READ +

DNS_VIEW_UPDATE

 UpdateView

kein Wert
manage

USE +

DNS_VIEW_CREATE

DNS_VIEW_DELETE

DNS_VIEW_MOVE

CreateView

DeleteView

ChangeViewCompartment

kein Wert
dns-resolvers
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DNS_RESOLVER_INSPECT

 ListResolvers

kein Wert
read

INSPECT +

DNS_RESOLVER_READ

 GetResolver

kein Wert
use

READ +

DNS_RESOLVER_UPDATE

 UpdateResolver

kein Wert
manage

USE +

DNS_RESOLVER_CREATE

DNS_RESOLVER_DELETE

DNS_RESOLVER_MOVE

CreateResolver

DeleteResolver

ChangeResolverCompartment

kein Wert
dns-resolver-endpoint
Verben Berechtigungen Vollständig abgedeckte APIs Teilweise abgedeckte APIs
inspect

DNS_RESOLVER_ENDPOINT_INSPECT

 ListResolverEndpoints

kein Wert
read

INSPECT +

DNS_RESOLVER_ENDPOINT_READ

 GetResolverEndpoint

kein Wert
use

READ +

DNS_RESOLVER_ENDPOINT_UPDATE

 UpdateResolverEndpoint

kein Wert
manage

USE +

DNS_RESOLVER_ENDPOINT_CREATE

DNS_RESOLVER_ENDPOINT_DELETE

CreateResolverEndpointDeleteResolverEndpoint

kein Wert

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

API-Vorgang Erforderliche Berechtigungen für den Vorgang
ListZones DNS_ZONE_INSPECT
CreateZone DNS_ZONE_CREATE
CreateChildZone DNS_ZONE_CREATE und DNS_RECORD_UPDATE
DeleteZone DNS_ZONE_DELETE
GetZone DNS_ZONE_READ
UpdateZone DNS_ZONE_UPDATE
ChangeZoneCompartment DNS_ZONE_MOVE
GetZoneRecords DNS_ZONE_READ und DNS_RECORD_READ
PatchZoneRecords DNS_ZONE_UPDATE und DNS_RECORD_UPDATE
UpdateZoneRecords DNS_ZONE_UPDATE und DNS_RECORD_UPDATE
GetDomainRecords DNS_RECORD_READ
PatchDomainRecords DNS_RECORD_UPDATE
UpdateDomainRecords DNS_RECORD_UPDATE
DeleteRRSet DNS_RECORD_UPDATE
GetRRSet DNS_RECORD_READ
PatchRRSet DNS_RECORD_UPDATE
UpdateRRSet DNS_RECORD_UPDATE
ListSteeringPolicies DNS_STEERING_POLICY_INSPECT
CreateSteeringPolicy DNS_STEERING_POLICY_CREATE
GetSteeringPolicy DNS_STEERING_POLICY_READ
UpdateSteeringPolicy DNS_STEERING_POLICY_UPDATE
DeleteSteeringPolicy DNS_STEERING_POLICY_DELETE
ChangeSteeringPolicyCompartment DNS_STEERING_POLICY_MOVE
ListSteeringPolicyAttachments DNS_STEERING_ATTACHMENT_INSPECT
CreateSteeringPolicyAttachment DNS_ZONE_UPDATE und DNS_STEERING_POLICY_READ
GetSteeringPolicyAttachment DNS_STEERING_ATTACHMENT_READ
UpdateSteeringPolicyAttachment DNS_ZONE_UPDATE und DNS_STEERING_POLICY_READ
DeleteSteeringPolicyAttachment DNS_ZONE_UPDATE und DNS_STEERING_POLICY_READ
ListTsigKeys DNS_TSIG_KEY_INSPECT
CreateTsigKey DNS_TSIG_KEY_CREATE
GetTsigKey DNS_TSIG_KEY_READ
UpdateTsigKey DNS_TSIG_KEY_UPDATE
DeleteTsigKey DNS_TSIG_KEY_DELETE
ChangeTsigKeyCompartment DNS_TSIG_KEY_MOVE
ListViews DNS_VIEW_INSPECT
CreateView DNS_VIEW_CREATE
GetView DNS_VIEW_READ
UpdateView DNS_VIEW_UPDATE
DeleteView DNS_VIEW_DELETE
ChangeViewCompartment DNS_VIEW_MOVE
ListResolvers DNS_RESOLVER_INSPECT
GetResolver DNS_RESOLVER_READ
UpdateResolver DNS_RESOLVER_UPDATE
ChangeResolverCompartment DNS_RESOLVER_MOVE
ListResolverEndpoints DNS_RESOLVER_ENDPOINT_INSPECT und DNS_RESOLVER_READ
CreateResolverEndpoint DNS_RESOLVER_UPDATE und DNS_RESOLVER_ENDPOINT_CREATE
GetResolverEndpoint DNS_RESOLVER_ENDPOINT_READ
UpdateResolverEndpoint DNS_RESOLVER_UPDATE und DNS_RESOLVER_ENDPOINT_UPDATE
DeleteResolverEndpoint DNS_RESOLVER_UPDATE und DNS_RESOLVER_ENDPOINT_DELETE