Documentation Oracle Cloud Infrastructure

Détails du service DNS

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès au service DNS.

Type agrégé de ressource

dns

Types individuels de ressource

dns-zones

dns-records

dns-steering-policies

dns-steering-policy-attachments

dns-tsig-keys

dns-views

dns-resolvers

Commentaires

Une stratégie qui utilise <verb> dns équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource.

Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans dns.

Variables prises en charge

Le service DNS prend en charge toutes les variables générales (reportez-vous à Variables générales pour toutes les demandes) ainsi que celles répertoriées ici.

Le type de ressource dns-zones peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-zone.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques en fonction de l'OCID.
target.dns-zone.name Chaîne Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques en fonction du nom.
target.dns-zone.apex-label Chaîne Libellé DNS le plus important de la zone cible. Exemple : si le nom de la zone cible est "service.example.com", la valeur de la variable est "service".
target.dns-zone.parent-domain Chaîne Nom de domaine de la zone parent de la zone cible.
target.dns.scope Chaîne Les valeurs valides sont "public" et "private".

Le type de ressource dns-records peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-zone.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques en fonction de l'OCID.
target.dns-zone.name Chaîne Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques en fonction du nom.
target.dns-record.type Liste (chaîne) Utilisez cette variable pour contrôler l'accès à des enregistrements DNS spécifiques en fonction du type. Les valeurs valides de la liste peuvent correspondre à tout type de ressource DNS pris en charge. Par exemple, "A", "AAAA", "TXT", etc. Reportez-vous à Enregistrements de ressource pris en charge.
target.dns-domain.name Liste (chaîne)

Utilisez cette variable pour contrôler l'accès à des noms de domaine spécifiques. Applicable aux opérations d'API suivantes :

  • GetDomainRecords
  • PatchDomainRecords
  • UpdateDomainRecords
  • DeleteRRSet
  • GetRRSet
  • PatchRRSet
  • UpdateRRSet
target.dns-zone.source-compartment.id Entité (OCID)

Utilisez cette variable pour contrôler l'accès au compartiment en cours de la zone DNS en fonction de l'OCID.
target.dns-zone.destination-compartment.id Entité (OCID)

Utilisez cette variable pour contrôler l'accès au compartiment de destination de la zone DNS en fonction de l'OCID.
Remarque

Utilisez les variables target.dns-record.type et target.dns-domain.name dans votre stratégie d'autorisation pour restreindre les utilisateurs lors de la modification d'enregistrements d'un type précis dans un sous-domaine spécifique. Une stratégie comme celle ci-après permet à un groupe d'utilisateurs spécifique de modifier les enregistrements "A" du domaine "example.com" : Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'} Avec ce type de stratégie d'autorisation, les utilisateurs sont uniquement autorisés à se servir d'opérations d'API d'ensemble d'enregistrements de ressource.

Le type de ressource dns-steering-policies peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-steering-policy.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des stratégies de pilotage spécifiques en fonction de l'OCID.
target.dns-steering-policy.display-name Chaîne Utilisez cette variable pour contrôler l'accès à des stratégies de pilotage spécifiques en fonction du nom.
target.dns-steering-policy.source-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment en cours de la stratégie de pilotage en fonction de l'OCID.
target.dns-steering-policy.destination-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment de destination de la stratégie de pilotage en fonction de l'OCID.

Le type de ressource dns-tsig-keys peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-tsig-key.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des clés TSIG spécifiques en fonction de l'OCID.
target.dns-tsig-key.name Chaîne Utilisez cette variable pour contrôler l'accès à des clés TSIG spécifiques en fonction du nom.
target.dns-tsig-key.source-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment en cours d'une clé TSIG spécifique en fonction de l'OCID.
target.dns-tsig-key.destination-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment de destination d'une clé TSIG spécifique en fonction de l'OCID.

Le type de ressource dns-view peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-view.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des vues spécifiques en fonction de l'OCID.
target.dns-view.display-name Chaîne Utilisez cette variable pour contrôler l'accès à des vues spécifiques en fonction du nom.
target.dns-view.source-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment en cours d'une vue spécifique en fonction de l'OCID.
target.dns-view.destination-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment de destination d'une vue spécifique en fonction de l'OCID.

Le type de ressource dns-resolver peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-resolver.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à un résolveur spécifique en fonction de l'OCID.
target.dns-resolver.display-name Chaîne Utilisez cette variable pour contrôler l'accès à un résolveur spécifique en fonction du nom.
target.dns-resolver.source-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment en cours d'un résolveur spécifique en fonction de l'OCID.
target.dns-resolver.destination-compartment.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au compartiment de destination d'un résolveur spécifique en fonction de l'OCID.

Le type de ressource dns-resolver-endpoint peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.dns-resolver-endpoint.name Chaîne Utilisez cette variable pour contrôler l'accès à des adresses de résolveur spécifiques en fonction du nom.

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.

Par exemple, le verbe manage pour le type de ressource dns-records ne couvre aucune opération d'API ni aucun droit d'accès supplémentaire par rapport au verbe use.

dns-zones
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DNS_ZONE_INSPECT

ListZones

aucun
read

INSPECT +

DNS_ZONE_READ

 GetZone GetZoneRecords
use

READ +

DNS_ZONE_UPDATE

 UpdateZone

UpdateZoneRecords

PatchZoneRecords

CreateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

manage

UPDATE +

DNS_ZONE_CREATE

DNS_ZONE_DELETE

DNS_ZONE_MOVE

CreateZone

DeleteZone

ChangeZoneCompartment

aucun
dns-records
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DNS_RECORD_INSPECT

aucun

aucun
read

INSPECT +

DNS_RECORD_READ

GetDomainRecords

GetRRSet

GetZoneRecords
use

READ +

DNS_RECORD_UPDATE

PatchDomainRecords

UpdateDomainRecords

DeleteRRSet

PatchRRSet

UpdateRRSet

UpdateZoneRecords

PatchZoneRecords

UpdateSteeringPolicyAttachment

manage

UPDATE +

DNS_RECORD_CREATE

DNS_RECORD_DELETE

aucun élément supplémentaire

aucun
dns-steering-policies
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DNS_STEERING_POLICY_INSPECT

 ListSteeringPolicies

aucun
read

INSPECT +

DNS_STEERING_POLICY_READ

 GetSteeringPolicy

UpdateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

use

READ +

DNS_POLICY_STEERING_UPDATE

 UpdateSteeringPolicy

aucun
manage

UPDATE +

DNS_STEERING_POLICY_CREATE

DNS_STEERING_POLICY_DELETE

DNS_STEERING_POLICY_MOVE

CreateSteeringPolicy

DeleteSteeringPolicy

ChangeSteeringPolicyCompartment

aucun
dns-steering-policy-attachments
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DNS_STEERING_ATTACHMENT_INSPECT

 ListSteeringPolicyAttachments

aucun
read

INSPECT +

DNS_STEERING_ATTACHMENT_READ

 GetSteeringPolicyAttachment

aucun
dns-tsig-keys
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DNS_TSIG_KEY_INSPECT

 ListTsigKeys

aucun
read

INSPECT +

DNS_TSIG_KEY_READ

 GetTsigKey

aucun
use

READ +

DNS_TSIG_KEY_UPDATE

 UpdateTsigKey

aucun
manage

USE +

DNS_TSIG_KEY_CREATE

DNS_TSIG_KEY_DELETE

DNS_TSIG_KEY_MOVE

CreateTsigKey

DeleteTsigKey

ChangeTsigKeyCompartment

aucun
dns-views
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DNS_VIEW_INSPECT

 ListViews

aucun
read

INSPECT +

DNS_VIEW_READ

 GetView

aucun
use

READ +

DNS_VIEW_UPDATE

 UpdateView

aucun
manage

USE +

DNS_VIEW_CREATE

DNS_VIEW_DELETE

DNS_VIEW_MOVE

CreateView

DeleteView

ChangeViewCompartment

aucun
dns-resolvers
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DNS_RESOLVER_INSPECT

 ListResolvers

aucun
read

INSPECT +

DNS_RESOLVER_READ

 GetResolver

aucun
use

READ +

DNS_RESOLVER_UPDATE

 UpdateResolver

aucun
manage

USE +

DNS_RESOLVER_CREATE

DNS_RESOLVER_DELETE

DNS_RESOLVER_MOVE

CreateResolver

DeleteResolver

ChangeResolverCompartment

aucun
dns-resolver-endpoint
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

DNS_RESOLVER_ENDPOINT_INSPECT

 ListResolverEndpoints

aucun
read

INSPECT +

DNS_RESOLVER_ENDPOINT_READ

 GetResolverEndpoint

aucun
use

READ +

DNS_RESOLVER_ENDPOINT_UPDATE

 UpdateResolverEndpoint

aucun
manage

USE +

DNS_RESOLVER_ENDPOINT_CREATE

DNS_RESOLVER_ENDPOINT_DELETE

CreateResolverEndpointDeleteResolverEndpoint

aucun

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
ListZones DNS_ZONE_INSPECT
CreateZone DNS_ZONE_CREATE
CreateChildZone DNS_ZONE_CREATE et DNS_RECORD_UPDATE
DeleteZone DNS_ZONE_DELETE
GetZone DNS_ZONE_READ
UpdateZone DNS_ZONE_UPDATE
ChangeZoneCompartment DNS_ZONE_MOVE
GetZoneRecords DNS_ZONE_READ et DNS_RECORD_READ
PatchZoneRecords DNS_ZONE_UPDATE et DNS_RECORD_UPDATE
UpdateZoneRecords DNS_ZONE_UPDATE et DNS_RECORD_UPDATE
GetDomainRecords DNS_RECORD_READ
PatchDomainRecords DNS_RECORD_UPDATE
UpdateDomainRecords DNS_RECORD_UPDATE
DeleteRRSet DNS_RECORD_UPDATE
GetRRSet DNS_RECORD_READ
PatchRRSet DNS_RECORD_UPDATE
UpdateRRSet DNS_RECORD_UPDATE
ListSteeringPolicies DNS_STEERING_POLICY_INSPECT
CreateSteeringPolicy DNS_STEERING_POLICY_CREATE
GetSteeringPolicy DNS_STEERING_POLICY_READ
UpdateSteeringPolicy DNS_STEERING_POLICY_UPDATE
DeleteSteeringPolicy DNS_STEERING_POLICY_DELETE
ChangeSteeringPolicyCompartment DNS_STEERING_POLICY_MOVE
ListSteeringPolicyAttachments DNS_STEERING_ATTACHMENT_INSPECT
CreateSteeringPolicyAttachment DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ
GetSteeringPolicyAttachment DNS_STEERING_ATTACHMENT_READ
UpdateSteeringPolicyAttachment DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ
DeleteSteeringPolicyAttachment DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ
ListTsigKeys DNS_TSIG_KEY_INSPECT
CreateTsigKey DNS_TSIG_KEY_CREATE
GetTsigKey DNS_TSIG_KEY_READ
UpdateTsigKey DNS_TSIG_KEY_UPDATE
DeleteTsigKey DNS_TSIG_KEY_DELETE
ChangeTsigKeyCompartment DNS_TSIG_KEY_MOVE
ListViews DNS_VIEW_INSPECT
CreateView DNS_VIEW_CREATE
GetView DNS_VIEW_READ
UpdateView DNS_VIEW_UPDATE
DeleteView DNS_VIEW_DELETE
ChangeViewCompartment DNS_VIEW_MOVE
ListResolvers DNS_RESOLVER_INSPECT
GetResolver DNS_RESOLVER_READ
UpdateResolver DNS_RESOLVER_UPDATE
ChangeResolverCompartment DNS_RESOLVER_MOVE
ListResolverEndpoints DNS_RESOLVER_ENDPOINT_INSPECT et DNS_RESOLVER_READ
CreateResolverEndpoint DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_CREATE
GetResolverEndpoint DNS_RESOLVER_ENDPOINT_READ
UpdateResolverEndpoint DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_UPDATE
DeleteResolverEndpoint DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_DELETE