Informations détaillées sur le service DNS
Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service DNS.
Type de ressource agrégé
dns
Types de ressource individuels
dns-zones
dns-records
dns-steering-policies
dns-steering-policy-attachments
dns-tsig-keys
dns-views
dns-resolvers
Commentaires
Une politique utilisant <verb> dns
équivaut à une politique ayant un énoncé <verb> <individual resource-type>
distinct pour chacun des types de ressource individuels.
Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans dns
.
Variables prises en charge
Le service DNS prend en charge toutes les variables générales (voir Variables générales pour toutes les demandes), plus les variables répertoriées ici.
Le type de ressource dns-zones
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-zone.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques par OCID. |
target.dns-zone.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques par nom. |
target.dns-zone.apex-label
|
Chaîne | Étiquette DNS la plus importante pour la zone cible. Exemple : Si le nom de la zone cible est "service.example.com", la valeur de cette variable est "service". |
target.dns-zone.parent-domain
|
Chaîne | Nom de domaine de la zone parent de la zone cible. |
target.dns.scope
|
Chaîne | Les valeurs valides sont "public" et "private". |
Le type de ressource dns-records
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-zone.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques par OCID. |
target.dns-zone.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques par nom. |
target.dns-record.type
|
Liste (chaîne) | Utilisez cette variable pour contrôler l'accès à des enregistrements DNS spécifiques par type. Les valeurs valides dans la liste peuvent être tout type de ressource DNS pris en charge. Par exemple, "A", "AAAA", "TXT", etc. Voir Enregistrements de ressource pris en charge. |
target.dns-domain.name
|
Liste (chaîne) |
Utilisez cette variable pour contrôler l'accès à des noms de domaine spécifiques. Applicable aux opérations d'API suivantes :
|
target.dns-zone.source-compartment.id
|
Entité (OCID) |
Utilisez cette variable pour contrôler l'accès au compartiment courant de la zone DNS par OCID. |
target.dns-zone.destination-compartment.id
|
Entité (OCID) |
Utilisez cette variable pour contrôler l'accès au compartiment de destination de la zone DNS par OCID. |
Utilisez les variables
target.dns-record.type
et target.dns-domain.name
dans votre politique d'autorisation pour limiter les utilisateurs lors de la modification d'enregistrements d'un type spécifique dans un sous-domaine particulier. Une politique semblable à celle-ci autoriserait un groupe spécifique d'utilisateurs à modifier les enregistrements "A" dans le domaine "example.com" : Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'}
Les utilisateurs seront seulement autorisés à utiliser les opérations d'API RRSet de ce type de politique d'autorisation.
Le type de ressource dns-steering-policies
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-steering-policy.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès aux politiques de pilotage spécifiques par OCID. |
target.dns-steering-policy.display-name
|
Chaîne | Utilisez cette variable pour contrôler l'accès aux politiques de pilotage spécifiques par nom. |
target.dns-steering-policy.source-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment courant de la politique de pilotage par OCID. |
target.dns-steering-policy.destination-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment de destination de la politique de pilotage par OCID. |
Le type de ressource dns-tsig-keys
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-tsig-key.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des clés TSIG spécifiques par OCID. |
target.dns-tsig-key.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des clés TSIG spécifiques par nom. |
target.dns-tsig-key.source-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment courant d'une clé TSIG spécifique par OCID. |
target.dns-tsig-key.destination-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment de destination d'une clé TSIG spécifique par OCID. |
Le type de ressource dns-view
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-view.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à une vue spécifique par OCID. |
target.dns-view.display-name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à une vue spécifique par nom. |
target.dns-view.source-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment courant d'une vue spécifique par OCID. |
target.dns-view.destination-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment de destination d'une vue spécifique par OCID. |
Le type de ressource dns-resolver
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-resolver.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un résolveur spécifique par OCID. |
target.dns-resolver.display-name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un résolveur spécifique par nom. |
target.dns-resolver.source-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment courant d'un résolveur spécifique par OCID. |
target.dns-resolver.destination-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment de destination d'un résolveur spécifique par OCID. |
Le type de ressource dns-resolver-endpoint
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-resolver-endpoint.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des points d'extrémité de résolveur spécifiques par nom. |
Informations détaillées sur les combinaisons Verbe + Type de ressource
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
Par exemple, le verbe manage
pour le type de ressource dns-records
ne couvre aucune autorisation ou opération d'API supplémentaire par rapport au verbe use
.
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_ZONE_INSPECT |
|
aucune |
read | INSPECT + DNS_ZONE_READ |
GetZone
|
GetZoneRecords
|
use | READ + DNS_ZONE_UPDATE |
UpdateZone
|
|
manage | UPDATE + DNS_ZONE_CREATE DNS_ZONE_DELETE DNS_ZONE_MOVE |
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_RECORD_INSPECT |
aucune |
aucune |
read | INSPECT + DNS_RECORD_READ |
|
GetZoneRecords
|
use | READ + DNS_RECORD_UPDATE |
|
|
manage | UPDATE + DNS_RECORD_CREATE DNS_RECORD_DELETE |
aucun accès supplémentaire |
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_STEERING_POLICY_INSPECT |
ListSteeringPolicies
|
aucune |
read | INSPECT + DNS_STEERING_POLICY_READ |
GetSteeringPolicy
|
|
use | READ + DNS_POLICY_STEERING_UPDATE |
UpdateSteeringPolicy
|
aucune |
manage | UPDATE + DNS_STEERING_POLICY_CREATE DNS_STEERING_POLICY_DELETE DNS_STEERING_POLICY_MOVE |
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_STEERING_ATTACHMENT_INSPECT |
ListSteeringPolicyAttachments
|
aucune |
read | INSPECT + DNS_STEERING_ATTACHMENT_READ |
GetSteeringPolicyAttachment
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_TSIG_KEY_INSPECT |
ListTsigKeys
|
aucune |
read | INSPECT + DNS_TSIG_KEY_READ |
GetTsigKey
|
aucune |
use | READ + DNS_TSIG_KEY_UPDATE |
UpdateTsigKey
|
aucune |
manage | USE + DNS_TSIG_KEY_CREATE DNS_TSIG_KEY_DELETE DNS_TSIG_KEY_MOVE |
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_VIEW_INSPECT |
ListViews
|
aucune |
read | INSPECT + DNS_VIEW_READ |
GetView
|
aucune |
use | READ + DNS_VIEW_UPDATE |
UpdateView
|
aucune |
manage | USE + DNS_VIEW_CREATE DNS_VIEW_DELETE DNS_VIEW_MOVE |
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_RESOLVER_INSPECT |
ListResolvers
|
aucune |
read | INSPECT + DNS_RESOLVER_READ |
GetResolver
|
aucune |
use | READ + DNS_RESOLVER_UPDATE |
UpdateResolver
|
aucune |
manage | USE + DNS_RESOLVER_CREATE DNS_RESOLVER_DELETE DNS_RESOLVER_MOVE |
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_RESOLVER_ENDPOINT_INSPECT |
ListResolverEndpoints
|
aucune |
read | INSPECT + DNS_RESOLVER_ENDPOINT_READ |
GetResolverEndpoint
|
aucune |
use | READ + DNS_RESOLVER_ENDPOINT_UPDATE |
UpdateResolverEndpoint
|
aucune |
manage | USE + DNS_RESOLVER_ENDPOINT_CREATE DNS_RESOLVER_ENDPOINT_DELETE |
|
aucune |
Autorisations requises pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les autorisations, voir Autorisations.
Opération d'API | Autorisations requises pour utiliser l'opération |
---|---|
ListZones
|
DNS_ZONE_INSPECT |
CreateZone
|
DNS_ZONE_CREATE |
CreateChildZone
|
DNS_ZONE_CREATE et DNS_RECORD_UPDATE |
DeleteZone
|
DNS_ZONE_DELETE |
GetZone
|
DNS_ZONE_READ |
UpdateZone
|
DNS_ZONE_UPDATE |
ChangeZoneCompartment
|
DNS_ZONE_MOVE |
GetZoneRecords
|
DNS_ZONE_READ et DNS_RECORD_READ |
PatchZoneRecords
|
DNS_ZONE_UPDATE et DNS_RECORD_UPDATE |
UpdateZoneRecords
|
DNS_ZONE_UPDATE et DNS_RECORD_UPDATE |
GetDomainRecords
|
DNS_RECORD_READ |
PatchDomainRecords
|
DNS_RECORD_UPDATE |
UpdateDomainRecords
|
DNS_RECORD_UPDATE |
DeleteRRSet
|
DNS_RECORD_UPDATE |
GetRRSet
|
DNS_RECORD_READ |
PatchRRSet
|
DNS_RECORD_UPDATE |
UpdateRRSet
|
DNS_RECORD_UPDATE |
ListSteeringPolicies
|
DNS_STEERING_POLICY_INSPECT |
CreateSteeringPolicy
|
DNS_STEERING_POLICY_CREATE |
GetSteeringPolicy
|
DNS_STEERING_POLICY_READ |
UpdateSteeringPolicy
|
DNS_STEERING_POLICY_UPDATE |
DeleteSteeringPolicy
|
DNS_STEERING_POLICY_DELETE |
ChangeSteeringPolicyCompartment
|
DNS_STEERING_POLICY_MOVE |
ListSteeringPolicyAttachments
|
DNS_STEERING_ATTACHMENT_INSPECT |
CreateSteeringPolicyAttachment
|
DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ |
GetSteeringPolicyAttachment
|
DNS_STEERING_ATTACHMENT_READ |
UpdateSteeringPolicyAttachment
|
DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ |
DeleteSteeringPolicyAttachment
|
DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ |
ListTsigKeys
|
DNS_TSIG_KEY_INSPECT |
CreateTsigKey
|
DNS_TSIG_KEY_CREATE |
GetTsigKey
|
DNS_TSIG_KEY_READ |
UpdateTsigKey
|
DNS_TSIG_KEY_UPDATE |
DeleteTsigKey
|
DNS_TSIG_KEY_DELETE |
ChangeTsigKeyCompartment
|
DNS_TSIG_KEY_MOVE |
ListViews
|
DNS_VIEW_INSPECT |
CreateView
|
DNS_VIEW_CREATE |
GetView
|
DNS_VIEW_READ |
UpdateView
|
DNS_VIEW_UPDATE |
DeleteView
|
DNS_VIEW_DELETE |
ChangeViewCompartment
|
DNS_VIEW_MOVE |
ListResolvers
|
DNS_RESOLVER_INSPECT |
GetResolver
|
DNS_RESOLVER_READ |
UpdateResolver |
DNS_RESOLVER_UPDATE |
ChangeResolverCompartment |
DNS_RESOLVER_MOVE |
ListResolverEndpoints |
DNS_RESOLVER_ENDPOINT_INSPECT et DNS_RESOLVER_READ |
CreateResolverEndpoint |
DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_CREATE |
GetResolverEndpoint |
DNS_RESOLVER_ENDPOINT_READ |
UpdateResolverEndpoint |
DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_UPDATE |
DeleteResolverEndpoint |
DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_DELETE |