Documentation sur Oracle Cloud Infrastructure

Informations détaillées sur le service DNS

Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service DNS.

Type de ressource agrégé

dns

Types de ressource individuels

dns-zones

dns-records

dns-steering-policies

dns-steering-policy-attachments

dns-tsig-keys

dns-views

dns-resolvers

Commentaires

Une politique utilisant <verb> dns équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource individuels.

Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans dns.

Variables prises en charge

Le service DNS prend en charge toutes les variables générales (voir Variables générales pour toutes les demandes), plus les variables répertoriées ici.

Le type de ressource dns-zones peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-zone.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques par OCID.
target.dns-zone.name Chaîne Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques par nom.
target.dns-zone.apex-label Chaîne Étiquette DNS la plus importante pour la zone cible. Exemple : Si le nom de la zone cible est "service.example.com", la valeur de cette variable est "service".
target.dns-zone.parent-domain Chaîne Nom de domaine de la zone parent de la zone cible.
target.dns.scope Chaîne Les valeurs valides sont "public" et "private".

Le type de ressource dns-records peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-zone.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques par OCID.
target.dns-zone.name Chaîne Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques par nom.
target.dns-record.type Liste (chaîne) Utilisez cette variable pour contrôler l'accès à des enregistrements DNS spécifiques par type. Les valeurs valides dans la liste peuvent être tout type de ressource DNS pris en charge. Par exemple, "A", "AAAA", "TXT", etc. Voir Enregistrements de ressource pris en charge.
target.dns-domain.name Liste (chaîne)

Utilisez cette variable pour contrôler l'accès à des noms de domaine spécifiques. Applicable aux opérations d'API suivantes :

  • GetDomainRecords
  • PatchDomainRecords
  • UpdateDomainRecords
  • DeleteRRSet
  • GetRRSet
  • PatchRRSet
  • UpdateRRSet
target.dns-zone.source-compartment.id Entité (OCID)

Utilisez cette variable pour contrôler l'accès au compartiment courant de la zone DNS par OCID.
target.dns-zone.destination-compartment.id Entité (OCID)

Utilisez cette variable pour contrôler l'accès au compartiment de destination de la zone DNS par OCID.
Note

Utilisez les variables target.dns-record.type et target.dns-domain.name dans votre politique d'autorisation pour limiter les utilisateurs lors de la modification d'enregistrements d'un type spécifique dans un sous-domaine particulier. Une politique semblable à celle-ci autoriserait un groupe spécifique d'utilisateurs à modifier les enregistrements "A" dans le domaine "example.com" : Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'} Les utilisateurs seront seulement autorisés à utiliser les opérations d'API RRSet de ce type de politique d'autorisation.

Le type de ressource dns-steering-policies peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-steering-policy.id Entité (OCID) Utilisez cette variable pour contrôler l'accès aux politiques de pilotage spécifiques par OCID.
target.dns-steering-policy.display-name Chaîne Utilisez cette variable pour contrôler l'accès aux politiques de pilotage spécifiques par nom.
target.dns-steering-policy.source-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment courant de la politique de pilotage par OCID.
target.dns-steering-policy.destination-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment de destination de la politique de pilotage par OCID.

Le type de ressource dns-tsig-keys peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-tsig-key.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des clés TSIG spécifiques par OCID.
target.dns-tsig-key.name Chaîne Utilisez cette variable pour contrôler l'accès à des clés TSIG spécifiques par nom.
target.dns-tsig-key.source-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment courant d'une clé TSIG spécifique par OCID.
target.dns-tsig-key.destination-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment de destination d'une clé TSIG spécifique par OCID.

Le type de ressource dns-view peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-view.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une vue spécifique par OCID.
target.dns-view.display-name Chaîne Utilisez cette variable pour contrôler l'accès à une vue spécifique par nom.
target.dns-view.source-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment courant d'une vue spécifique par OCID.
target.dns-view.destination-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment de destination d'une vue spécifique par OCID.

Le type de ressource dns-resolver peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-resolver.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à un résolveur spécifique par OCID.
target.dns-resolver.display-name Chaîne Utilisez cette variable pour contrôler l'accès à un résolveur spécifique par nom.
target.dns-resolver.source-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment courant d'un résolveur spécifique par OCID.
target.dns-resolver.destination-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment de destination d'un résolveur spécifique par OCID.

Le type de ressource dns-resolver-endpoint peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-resolver-endpoint.name Chaîne Utilisez cette variable pour contrôler l'accès à des points d'extrémité de résolveur spécifiques par nom.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le verbe manage pour le type de ressource dns-records ne couvre aucune autorisation ou opération d'API supplémentaire par rapport au verbe use.

zones DNS
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DNS_ZONE_INSPECT

ListZones

aucune
read

INSPECT +

DNS_ZONE_READ

 GetZone GetZoneRecords
use

READ +

DNS_ZONE_UPDATE

 UpdateZone

UpdateZoneRecords

PatchZoneRecords

CreateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

manage

UPDATE +

DNS_ZONE_CREATE

DNS_ZONE_DELETE

DNS_ZONE_MOVE

CreateZone

DeleteZone

ChangeZoneCompartment

aucune
enregistrements DNS
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DNS_RECORD_INSPECT

aucune

aucune
read

INSPECT +

DNS_RECORD_READ

GetDomainRecords

GetRRSet

GetZoneRecords
use

READ +

DNS_RECORD_UPDATE

PatchDomainRecords

UpdateDomainRecords

DeleteRRSet

PatchRRSet

UpdateRRSet

UpdateZoneRecords

PatchZoneRecords

UpdateSteeringPolicyAttachment

manage

UPDATE +

DNS_RECORD_CREATE

DNS_RECORD_DELETE

aucun accès supplémentaire

aucune
politiques de pilotage pour DNS
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DNS_STEERING_POLICY_INSPECT

 ListSteeringPolicies

aucune
read

INSPECT +

DNS_STEERING_POLICY_READ

 GetSteeringPolicy

UpdateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

use

READ +

DNS_POLICY_STEERING_UPDATE

 UpdateSteeringPolicy

aucune
manage

UPDATE +

DNS_STEERING_POLICY_CREATE

DNS_STEERING_POLICY_DELETE

DNS_STEERING_POLICY_MOVE

CreateSteeringPolicy

DeleteSteeringPolicy

ChangeSteeringPolicyCompartment

aucune
associations de politiques de pilotage pour DNS
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DNS_STEERING_ATTACHMENT_INSPECT

 ListSteeringPolicyAttachments

aucune
read

INSPECT +

DNS_STEERING_ATTACHMENT_READ

 GetSteeringPolicyAttachment

aucune
clés tsig de DNS
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DNS_TSIG_KEY_INSPECT

 ListTsigKeys

aucune
read

INSPECT +

DNS_TSIG_KEY_READ

 GetTsigKey

aucune
use

READ +

DNS_TSIG_KEY_UPDATE

 UpdateTsigKey

aucune
manage

USE +

DNS_TSIG_KEY_CREATE

DNS_TSIG_KEY_DELETE

DNS_TSIG_KEY_MOVE

CreateTsigKey

DeleteTsigKey

ChangeTsigKeyCompartment

aucune
dns-views
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DNS_VIEW_INSPECT

 ListViews

aucune
read

INSPECT +

DNS_VIEW_READ

 GetView

aucune
use

READ +

DNS_VIEW_UPDATE

 UpdateView

aucune
manage

USE +

DNS_VIEW_CREATE

DNS_VIEW_DELETE

DNS_VIEW_MOVE

CreateView

DeleteView

ChangeViewCompartment

aucune
dns-resolvers
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DNS_RESOLVER_INSPECT

 ListResolvers

aucune
read

INSPECT +

DNS_RESOLVER_READ

 GetResolver

aucune
use

READ +

DNS_RESOLVER_UPDATE

 UpdateResolver

aucune
manage

USE +

DNS_RESOLVER_CREATE

DNS_RESOLVER_DELETE

DNS_RESOLVER_MOVE

CreateResolver

DeleteResolver

ChangeResolverCompartment

aucune
dns-resolver-endpoint
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

DNS_RESOLVER_ENDPOINT_INSPECT

 ListResolverEndpoints

aucune
read

INSPECT +

DNS_RESOLVER_ENDPOINT_READ

 GetResolverEndpoint

aucune
use

READ +

DNS_RESOLVER_ENDPOINT_UPDATE

 UpdateResolverEndpoint

aucune
manage

USE +

DNS_RESOLVER_ENDPOINT_CREATE

DNS_RESOLVER_ENDPOINT_DELETE

CreateResolverEndpointDeleteResolverEndpoint

aucune

Autorisations requises pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les autorisations, voir Autorisations.

Opération d'API Autorisations requises pour utiliser l'opération
ListZones DNS_ZONE_INSPECT
CreateZone DNS_ZONE_CREATE
CreateChildZone DNS_ZONE_CREATE et DNS_RECORD_UPDATE
DeleteZone DNS_ZONE_DELETE
GetZone DNS_ZONE_READ
UpdateZone DNS_ZONE_UPDATE
ChangeZoneCompartment DNS_ZONE_MOVE
GetZoneRecords DNS_ZONE_READ et DNS_RECORD_READ
PatchZoneRecords DNS_ZONE_UPDATE et DNS_RECORD_UPDATE
UpdateZoneRecords DNS_ZONE_UPDATE et DNS_RECORD_UPDATE
GetDomainRecords DNS_RECORD_READ
PatchDomainRecords DNS_RECORD_UPDATE
UpdateDomainRecords DNS_RECORD_UPDATE
DeleteRRSet DNS_RECORD_UPDATE
GetRRSet DNS_RECORD_READ
PatchRRSet DNS_RECORD_UPDATE
UpdateRRSet DNS_RECORD_UPDATE
ListSteeringPolicies DNS_STEERING_POLICY_INSPECT
CreateSteeringPolicy DNS_STEERING_POLICY_CREATE
GetSteeringPolicy DNS_STEERING_POLICY_READ
UpdateSteeringPolicy DNS_STEERING_POLICY_UPDATE
DeleteSteeringPolicy DNS_STEERING_POLICY_DELETE
ChangeSteeringPolicyCompartment DNS_STEERING_POLICY_MOVE
ListSteeringPolicyAttachments DNS_STEERING_ATTACHMENT_INSPECT
CreateSteeringPolicyAttachment DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ
GetSteeringPolicyAttachment DNS_STEERING_ATTACHMENT_READ
UpdateSteeringPolicyAttachment DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ
DeleteSteeringPolicyAttachment DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ
ListTsigKeys DNS_TSIG_KEY_INSPECT
CreateTsigKey DNS_TSIG_KEY_CREATE
GetTsigKey DNS_TSIG_KEY_READ
UpdateTsigKey DNS_TSIG_KEY_UPDATE
DeleteTsigKey DNS_TSIG_KEY_DELETE
ChangeTsigKeyCompartment DNS_TSIG_KEY_MOVE
ListViews DNS_VIEW_INSPECT
CreateView DNS_VIEW_CREATE
GetView DNS_VIEW_READ
UpdateView DNS_VIEW_UPDATE
DeleteView DNS_VIEW_DELETE
ChangeViewCompartment DNS_VIEW_MOVE
ListResolvers DNS_RESOLVER_INSPECT
GetResolver DNS_RESOLVER_READ
UpdateResolver DNS_RESOLVER_UPDATE
ChangeResolverCompartment DNS_RESOLVER_MOVE
ListResolverEndpoints DNS_RESOLVER_ENDPOINT_INSPECT et DNS_RESOLVER_READ
CreateResolverEndpoint DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_CREATE
GetResolverEndpoint DNS_RESOLVER_ENDPOINT_READ
UpdateResolverEndpoint DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_UPDATE
DeleteResolverEndpoint DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_DELETE