Détails du service DNS
Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès au service DNS.
Type agrégé de ressource
dns
Types individuels de ressource
dns-zones
dns-records
dns-steering-policies
dns-steering-policy-attachments
dns-tsig-keys
dns-views
dns-resolvers
Commentaires
Une stratégie qui utilise <verb> dns
équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type>
distincte pour chaque type individuel de ressource.
Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans dns
.
Variables prises en charge
Le service DNS prend en charge toutes les variables générales (reportez-vous à Variables générales pour toutes les demandes) ainsi que celles répertoriées ici.
Le type de ressource dns-zones
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-zone.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques en fonction de l'OCID. |
target.dns-zone.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques en fonction du nom. |
target.dns-zone.apex-label
|
Chaîne | Libellé DNS le plus important de la zone cible. Exemple : si le nom de la zone cible est "service.example.com", la valeur de la variable est "service". |
target.dns-zone.parent-domain
|
Chaîne | Nom de domaine de la zone parent de la zone cible. |
target.dns.scope
|
Chaîne | Les valeurs valides sont "public" et "private". |
Le type de ressource dns-records
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-zone.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques en fonction de l'OCID. |
target.dns-zone.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des zones DNS spécifiques en fonction du nom. |
target.dns-record.type
|
Liste (chaîne) | Utilisez cette variable pour contrôler l'accès à des enregistrements DNS spécifiques en fonction du type. Les valeurs valides de la liste peuvent correspondre à tout type de ressource DNS pris en charge. Par exemple, "A", "AAAA", "TXT", etc. Reportez-vous à Enregistrements de ressource pris en charge. |
target.dns-domain.name
|
Liste (chaîne) |
Utilisez cette variable pour contrôler l'accès à des noms de domaine spécifiques. Applicable aux opérations d'API suivantes :
|
target.dns-zone.source-compartment.id
|
Entité (OCID) |
Utilisez cette variable pour contrôler l'accès au compartiment en cours de la zone DNS en fonction de l'OCID. |
target.dns-zone.destination-compartment.id
|
Entité (OCID) |
Utilisez cette variable pour contrôler l'accès au compartiment de destination de la zone DNS en fonction de l'OCID. |
Utilisez les variables
target.dns-record.type
et target.dns-domain.name
dans votre stratégie d'autorisation pour restreindre les utilisateurs lors de la modification d'enregistrements d'un type précis dans un sous-domaine spécifique. Une stratégie comme celle ci-après permet à un groupe d'utilisateurs spécifique de modifier les enregistrements "A" du domaine "example.com" : Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'}
Avec ce type de stratégie d'autorisation, les utilisateurs sont uniquement autorisés à se servir d'opérations d'API d'ensemble d'enregistrements de ressource.
Le type de ressource dns-steering-policies
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-steering-policy.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des stratégies de pilotage spécifiques en fonction de l'OCID. |
target.dns-steering-policy.display-name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des stratégies de pilotage spécifiques en fonction du nom. |
target.dns-steering-policy.source-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment en cours de la stratégie de pilotage en fonction de l'OCID. |
target.dns-steering-policy.destination-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment de destination de la stratégie de pilotage en fonction de l'OCID. |
Le type de ressource dns-tsig-keys
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-tsig-key.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des clés TSIG spécifiques en fonction de l'OCID. |
target.dns-tsig-key.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des clés TSIG spécifiques en fonction du nom. |
target.dns-tsig-key.source-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment en cours d'une clé TSIG spécifique en fonction de l'OCID. |
target.dns-tsig-key.destination-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment de destination d'une clé TSIG spécifique en fonction de l'OCID. |
Le type de ressource dns-view
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-view.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des vues spécifiques en fonction de l'OCID. |
target.dns-view.display-name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des vues spécifiques en fonction du nom. |
target.dns-view.source-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment en cours d'une vue spécifique en fonction de l'OCID. |
target.dns-view.destination-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment de destination d'une vue spécifique en fonction de l'OCID. |
Le type de ressource dns-resolver
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-resolver.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à un résolveur spécifique en fonction de l'OCID. |
target.dns-resolver.display-name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à un résolveur spécifique en fonction du nom. |
target.dns-resolver.source-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment en cours d'un résolveur spécifique en fonction de l'OCID. |
target.dns-resolver.destination-compartment.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès au compartiment de destination d'un résolveur spécifique en fonction de l'OCID. |
Le type de ressource dns-resolver-endpoint
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.dns-resolver-endpoint.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des adresses de résolveur spécifiques en fonction du nom. |
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.
Par exemple, le verbe manage
pour le type de ressource dns-records
ne couvre aucune opération d'API ni aucun droit d'accès supplémentaire par rapport au verbe use
.
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_ZONE_INSPECT |
|
aucun |
read | INSPECT + DNS_ZONE_READ |
GetZone
|
GetZoneRecords
|
use | READ + DNS_ZONE_UPDATE |
UpdateZone
|
|
manage | UPDATE + DNS_ZONE_CREATE DNS_ZONE_DELETE DNS_ZONE_MOVE |
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_RECORD_INSPECT |
aucun |
aucun |
read | INSPECT + DNS_RECORD_READ |
|
GetZoneRecords
|
use | READ + DNS_RECORD_UPDATE |
|
|
manage | UPDATE + DNS_RECORD_CREATE DNS_RECORD_DELETE |
aucun élément supplémentaire |
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_STEERING_POLICY_INSPECT |
ListSteeringPolicies
|
aucun |
read | INSPECT + DNS_STEERING_POLICY_READ |
GetSteeringPolicy
|
|
use | READ + DNS_POLICY_STEERING_UPDATE |
UpdateSteeringPolicy
|
aucun |
manage | UPDATE + DNS_STEERING_POLICY_CREATE DNS_STEERING_POLICY_DELETE DNS_STEERING_POLICY_MOVE |
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_STEERING_ATTACHMENT_INSPECT |
ListSteeringPolicyAttachments
|
aucun |
read | INSPECT + DNS_STEERING_ATTACHMENT_READ |
GetSteeringPolicyAttachment
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_TSIG_KEY_INSPECT |
ListTsigKeys
|
aucun |
read | INSPECT + DNS_TSIG_KEY_READ |
GetTsigKey
|
aucun |
use | READ + DNS_TSIG_KEY_UPDATE |
UpdateTsigKey
|
aucun |
manage | USE + DNS_TSIG_KEY_CREATE DNS_TSIG_KEY_DELETE DNS_TSIG_KEY_MOVE |
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_VIEW_INSPECT |
ListViews
|
aucun |
read | INSPECT + DNS_VIEW_READ |
GetView
|
aucun |
use | READ + DNS_VIEW_UPDATE |
UpdateView
|
aucun |
manage | USE + DNS_VIEW_CREATE DNS_VIEW_DELETE DNS_VIEW_MOVE |
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_RESOLVER_INSPECT |
ListResolvers
|
aucun |
read | INSPECT + DNS_RESOLVER_READ |
GetResolver
|
aucun |
use | READ + DNS_RESOLVER_UPDATE |
UpdateResolver
|
aucun |
manage | USE + DNS_RESOLVER_CREATE DNS_RESOLVER_DELETE DNS_RESOLVER_MOVE |
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | DNS_RESOLVER_ENDPOINT_INSPECT |
ListResolverEndpoints
|
aucun |
read | INSPECT + DNS_RESOLVER_ENDPOINT_READ |
GetResolverEndpoint
|
aucun |
use | READ + DNS_RESOLVER_ENDPOINT_UPDATE |
UpdateResolverEndpoint
|
aucun |
manage | USE + DNS_RESOLVER_ENDPOINT_CREATE DNS_RESOLVER_ENDPOINT_DELETE |
|
aucun |
Droits d'accès requis pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Opération d'API | Droits d'accès requis pour utiliser l'opération |
---|---|
ListZones
|
DNS_ZONE_INSPECT |
CreateZone
|
DNS_ZONE_CREATE |
CreateChildZone
|
DNS_ZONE_CREATE et DNS_RECORD_UPDATE |
DeleteZone
|
DNS_ZONE_DELETE |
GetZone
|
DNS_ZONE_READ |
UpdateZone
|
DNS_ZONE_UPDATE |
ChangeZoneCompartment
|
DNS_ZONE_MOVE |
GetZoneRecords
|
DNS_ZONE_READ et DNS_RECORD_READ |
PatchZoneRecords
|
DNS_ZONE_UPDATE et DNS_RECORD_UPDATE |
UpdateZoneRecords
|
DNS_ZONE_UPDATE et DNS_RECORD_UPDATE |
GetDomainRecords
|
DNS_RECORD_READ |
PatchDomainRecords
|
DNS_RECORD_UPDATE |
UpdateDomainRecords
|
DNS_RECORD_UPDATE |
DeleteRRSet
|
DNS_RECORD_UPDATE |
GetRRSet
|
DNS_RECORD_READ |
PatchRRSet
|
DNS_RECORD_UPDATE |
UpdateRRSet
|
DNS_RECORD_UPDATE |
ListSteeringPolicies
|
DNS_STEERING_POLICY_INSPECT |
CreateSteeringPolicy
|
DNS_STEERING_POLICY_CREATE |
GetSteeringPolicy
|
DNS_STEERING_POLICY_READ |
UpdateSteeringPolicy
|
DNS_STEERING_POLICY_UPDATE |
DeleteSteeringPolicy
|
DNS_STEERING_POLICY_DELETE |
ChangeSteeringPolicyCompartment
|
DNS_STEERING_POLICY_MOVE |
ListSteeringPolicyAttachments
|
DNS_STEERING_ATTACHMENT_INSPECT |
CreateSteeringPolicyAttachment
|
DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ |
GetSteeringPolicyAttachment
|
DNS_STEERING_ATTACHMENT_READ |
UpdateSteeringPolicyAttachment
|
DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ |
DeleteSteeringPolicyAttachment
|
DNS_ZONE_UPDATE et DNS_STEERING_POLICY_READ |
ListTsigKeys
|
DNS_TSIG_KEY_INSPECT |
CreateTsigKey
|
DNS_TSIG_KEY_CREATE |
GetTsigKey
|
DNS_TSIG_KEY_READ |
UpdateTsigKey
|
DNS_TSIG_KEY_UPDATE |
DeleteTsigKey
|
DNS_TSIG_KEY_DELETE |
ChangeTsigKeyCompartment
|
DNS_TSIG_KEY_MOVE |
ListViews
|
DNS_VIEW_INSPECT |
CreateView
|
DNS_VIEW_CREATE |
GetView
|
DNS_VIEW_READ |
UpdateView
|
DNS_VIEW_UPDATE |
DeleteView
|
DNS_VIEW_DELETE |
ChangeViewCompartment
|
DNS_VIEW_MOVE |
ListResolvers
|
DNS_RESOLVER_INSPECT |
GetResolver
|
DNS_RESOLVER_READ |
UpdateResolver |
DNS_RESOLVER_UPDATE |
ChangeResolverCompartment |
DNS_RESOLVER_MOVE |
ListResolverEndpoints |
DNS_RESOLVER_ENDPOINT_INSPECT et DNS_RESOLVER_READ |
CreateResolverEndpoint |
DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_CREATE |
GetResolverEndpoint |
DNS_RESOLVER_ENDPOINT_READ |
UpdateResolverEndpoint |
DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_UPDATE |
DeleteResolverEndpoint |
DNS_RESOLVER_UPDATE et DNS_RESOLVER_ENDPOINT_DELETE |