Documentazione di Oracle Cloud Infrastructure

Dettagli per il servizio DNS

In questo argomento vengono descritti i dettagli per la scrittura dei criteri per controllare l'accesso al servizio DNS.

Tipo di risorsa aggregata

dns

Singola risorsa - Tipi

dns-zones

dns-records

dns-steering-policies

dns-steering-policy-attachments

dns-tsig-keys

dns-views

dns-resolvers

commenti

Un criterio che utilizza <verb> dns equivale a scriverne uno con un'istruzione <verb> <individual resource-type> separata per ciascuno dei singoli tipi di risorsa.

Per i dettagli delle operazioni API coperte da ciascun verbo, per ogni singolo tipo di risorsa incluso in dns, vedere la tabella in Dettagli per combinazioni Verb + Tipo di risorsa.

Variabili supportate

Il servizio DNS supporta tutte le variabili generali (vedere Variabili generali per tutte le richieste), oltre a quelle elencate qui.

Il tipo di risorsa dns-zones può utilizzare le seguenti variabili:

Variabile Tipo di variabile Commenti
target.dns-zone.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a zone DNS specifiche in base all'OCID.
target.dns-zone.name Stringa Utilizzare questa variabile per controllare l'accesso a zone DNS specifiche in base al nome.
target.dns-zone.apex-label Stringa L'etichetta DNS più significativa per la zona di destinazione. Esempio: se il nome della zona di destinazione è "service.example.com", il valore di questa variabile sarà "service".
target.dns-zone.parent-domain Stringa Nome dominio della zona padre della zona di destinazione.
target.dns.scope Stringa I valori validi sono "pubblico" e "privato".

Il tipo di risorsa dns-records può utilizzare le seguenti variabili:

Variabile Tipo di variabile Commenti
target.dns-zone.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a zone DNS specifiche in base all'OCID.
target.dns-zone.name Stringa Utilizzare questa variabile per controllare l'accesso a zone DNS specifiche in base al nome.
target.dns-record.type Lista (stringa) Utilizzare questa variabile per controllare l'accesso a record DNS specifici per tipo. I valori validi nell'elenco possono essere qualsiasi tipo di risorsa DNS supportato. Ad esempio, "A", "AAAA", "TXT" e così via. Vedere Record risorse supportate.
target.dns-domain.name Lista (stringa)

Utilizzare questa variabile per controllare l'accesso a nomi di dominio specifici. Applicabile alle seguenti operazioni API:

  • GetDomainRecords
  • PatchDomainRecords
  • UpdateDomainRecords
  • DeleteRRSet
  • GetRRSet
  • PatchRRSet
  • UpdateRRSet
target.dns-zone.source-compartment.id Entità (OCID)

Utilizzare questa variabile per controllare l'accesso al compartimento corrente della zona DNS in base all'OCID.
target.dns-zone.destination-compartment.id Entità (OCID)

Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione della zona DNS in base all'OCID.
Nota

Utilizzare le variabili target.dns-record.type e target.dns-domain.name nel criterio di autorizzazione per limitare gli utenti quando si modificano record di un tipo specifico in un sottodominio specifico. Un criterio di questo tipo consentirebbe a un gruppo specifico di utenti di modificare i record "A" nel dominio "example.com": Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'} Gli utenti saranno autorizzati a utilizzare le operazioni API RRSet solo con questo tipo di criterio di autorizzazione.

Il tipo di risorsa dns-steering-policies può utilizzare le seguenti variabili:

Variabile Tipo di variabile Commenti
target.dns-steering-policy.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a criteri di indirizzamento specifici in base all'OCID.
target.dns-steering-policy.display-name Stringa Utilizzare questa variabile per controllare l'accesso a criteri di indirizzamento specifici in base al nome.
target.dns-steering-policy.source-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento corrente del criterio di indirizzamento in base all'OCID.
target.dns-steering-policy.destination-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione del criterio di indirizzamento in base all'OCID.

Il tipo di risorsa dns-tsig-keys può utilizzare le seguenti variabili:

Variabile Tipo di variabile Commenti
target.dns-tsig-key.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a chiavi TSIG specifiche in base all'OCID.
target.dns-tsig-key.name Stringa Utilizzare questa variabile per controllare l'accesso a chiavi TSIG specifiche in base al nome.
target.dns-tsig-key.source-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento corrente di una chiave TSIG specifica in base all'OCID.
target.dns-tsig-key.destination-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione della chiave TSIG specifica in base all'OCID.

Il tipo di risorsa dns-view può utilizzare le seguenti variabili:

Variabile Tipo di variabile Commenti
target.dns-view.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a una vista specifica in base all'OCID.
target.dns-view.display-name Stringa Utilizzare questa variabile per controllare l'accesso a una vista specifica in base al nome.
target.dns-view.source-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento corrente di una vista specifica in base all'OCID.
target.dns-view.destination-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione della vista specifica in base all'OCID.

Il tipo di risorsa dns-resolver può utilizzare le seguenti variabili:

Variabile Tipo di variabile Commenti
target.dns-resolver.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al resolver specifico in base all'OCID.
target.dns-resolver.display-name Stringa Utilizzare questa variabile per controllare l'accesso al resolver specifico in base al nome.
target.dns-resolver.source-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento corrente di un resolver specifico in base all'OCID.
target.dns-resolver.destination-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione del resolver specifico in base all'OCID.

Il tipo di risorsa dns-resolver-endpoint può utilizzare le seguenti variabili:

Variabile Tipo di variabile commenti
target.dns-resolver-endpoint.name Stringa Utilizzare questa variabile per controllare l'accesso a endpoint del resolver specifici in base al nome.

Dettagli per le combinazioni verbo-tipo di risorsa

Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo quando si sceglie inspect > read > use > manage. Ad esempio, un gruppo che può utilizzare una risorsa può anche ispezionare e leggere tale risorsa. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

Ad esempio, il verbo manage per il tipo di risorsa dns-records non copre autorizzazioni o operazioni API aggiuntive rispetto al verbo use.

dns-zones
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_ZONE_INSPECT

ListZones

nessuno
letto

ISPEZIONA +

DNS_ZONE_READ

 GetZone GetZoneRecords
utilizzare

LETTURA +

DNS_ZONE_UPDATE

 UpdateZone

UpdateZoneRecords

PatchZoneRecords

CreateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

gestisci

AGGIORNA +

DNS_ZONE_CREATE

DNS_ZONE_DELETE

DNS_ZONE_MOVE

CreateZone

DeleteZone

ChangeZoneCompartment

nessuno
dns-records
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_RECORD_INSPECT

nessuno

nessuno
letto

ISPEZIONA +

DNS_RECORD_READ

GetDomainRecords

GetRRSet

GetZoneRecords
utilizzare

LETTURA +

DNS_RECORD_UPDATE

PatchDomainRecords

UpdateDomainRecords

DeleteRRSet

PatchRRSet

UpdateRRSet

UpdateZoneRecords

PatchZoneRecords

UpdateSteeringPolicyAttachment

gestisci

AGGIORNA +

DNS_RECORD_CREATE

DNS_RECORD_DELETE

nessun altro

nessuno
dns-steering-policies
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_STEERING_POLICY_INSPECT

 ListSteeringPolicies

nessuno
letto

ISPEZIONA +

DNS_STEERING_POLICY_READ

 GetSteeringPolicy

UpdateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

utilizzare

LETTURA +

DNS_POLICY_STEERING_UPDATE

 UpdateSteeringPolicy

nessuno
gestisci

AGGIORNA +

DNS_STEERING_POLICY_CREATE

DNS_STEERING_POLICY_DELETE

DNS_STEERING_POLICY_MOVE

CreateSteeringPolicy

DeleteSteeringPolicy

ChangeSteeringPolicyCompartment

nessuno
dns-steering-policy-attachments
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_STEERING_ATTACHMENT_INSPECT

 ListSteeringPolicyAttachments

nessuno
letto

ISPEZIONA +

DNS_STEERING_ATTACHMENT_READ

 GetSteeringPolicyAttachment

nessuno
dns-tsig-keys
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_TSIG_KEY_INSPECT

 ListTsigKeys

nessuno
letto

ISPEZIONA +

DNS_TSIG_KEY_READ

 GetTsigKey

nessuno
utilizzare

LETTURA +

DNS_TSIG_KEY_UPDATE

 UpdateTsigKey

nessuno
gestisci

USE +

DNS_TSIG_KEY_CREATE

DNS_TSIG_KEY_DELETE

DNS_TSIG_KEY_MOVE

CreateTsigKey

DeleteTsigKey

ChangeTsigKeyCompartment

nessuno
dns-views
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_VIEW_INSPECT

 ListViews

nessuno
letto

ISPEZIONA +

DNS_VIEW_READ

 GetView

nessuno
utilizzare

LETTURA +

DNS_VIEW_UPDATE

 UpdateView

nessuno
gestisci

UTILIZZO +

DNS_VIEW_CREATE

DNS_VIEW_DELETE

DNS_VIEW_MOVE

CreateView

DeleteView

ChangeViewCompartment

nessuno
dns-resolvers
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_RESOLVER_INSPECT

 ListResolvers

nessuno
letto

ISPEZIONA +

DNS_RESOLVER_READ

 GetResolver

nessuno
utilizzare

LETTURA +

DNS_RESOLVER_UPDATE

 UpdateResolver

nessuno
gestisci

USE +

DNS_RESOLVER_CREATE

DNS_RESOLVER_DELETE

DNS_RESOLVER_MOVE

CreateResolver

DeleteResolver

ChangeResolverCompartment

nessuno
dns-resolver-endpoint
Verbi Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_RESOLVER_ENDPOINT_INSPECT

 ListResolverEndpoints

nessuno
letto

ISPEZIONA +

DNS_RESOLVER_ENDPOINT_READ

 GetResolverEndpoint

nessuno
utilizzare

LETTURA +

DNS_RESOLVER_ENDPOINT_UPDATE

 UpdateResolverEndpoint

nessuno
gestisci

UTILIZZO +

DNS_RESOLVER_ENDPOINT_CREATE

DNS_RESOLVER_ENDPOINT_DELETE

CreateResolverEndpointDeleteResolverEndpoint

nessuno

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListZones DNS_ZONE_INSPECT
CreateZone DNS_ZONE_CREATE
CreateChildZone DNS_ZONE_CREATE e DNS_RECORD_UPDATE
DeleteZone DNS_ZONE_DELETE
GetZone DNS_ZONE_READ
UpdateZone DNS_ZONE_UPDATE
ChangeZoneCompartment DNS_ZONE_MOVE
GetZoneRecords DNS_ZONE_READ e DNS_RECORD_READ
PatchZoneRecords DNS_ZONE_UPDATE e DNS_RECORD_UPDATE
UpdateZoneRecords DNS_ZONE_UPDATE e DNS_RECORD_UPDATE
GetDomainRecords DNS_RECORD_READ
PatchDomainRecords DNS_RECORD_UPDATE
UpdateDomainRecords DNS_RECORD_UPDATE
DeleteRRSet DNS_RECORD_UPDATE
GetRRSet DNS_RECORD_READ
PatchRRSet DNS_RECORD_UPDATE
UpdateRRSet DNS_RECORD_UPDATE
ListSteeringPolicies DNS_STEERING_POLICY_INSPECT
CreateSteeringPolicy DNS_STEERING_POLICY_CREATE

Richiede inoltre l'autorizzazione per recuperare il monitoraggio del controllo dello stato se ne è specificata una. Per ulteriori informazioni, vedere Details for Health Checks.
GetSteeringPolicy DNS_STEERING_POLICY_READ
UpdateSteeringPolicy DNS_STEERING_POLICY_UPDATE
DeleteSteeringPolicy DNS_STEERING_POLICY_DELETE
ChangeSteeringPolicyCompartment DNS_STEERING_POLICY_MOVE
ListSteeringPolicyAttachments DNS_STEERING_ATTACHMENT_INSPECT
CreateSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
GetSteeringPolicyAttachment DNS_STEERING_ATTACHMENT_READ
UpdateSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
DeleteSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
ListTsigKeys DNS_TSIG_KEY_INSPECT
CreateTsigKey DNS_TSIG_KEY_CREATE
GetTsigKey DNS_TSIG_KEY_READ
UpdateTsigKey DNS_TSIG_KEY_UPDATE
DeleteTsigKey DNS_TSIG_KEY_DELETE
ChangeTsigKeyCompartment DNS_TSIG_KEY_MOVE
ListViews DNS_VIEW_INSPECT
CreateView DNS_VIEW_CREATE
GetView DNS_VIEW_READ
UpdateView DNS_VIEW_UPDATE
DeleteView DNS_VIEW_DELETE
ChangeViewCompartment DNS_VIEW_MOVE
ListResolvers DNS_RESOLVER_INSPECT
GetResolver DNS_RESOLVER_READ
UpdateResolver DNS_RESOLVER_UPDATE
ChangeResolverCompartment DNS_RESOLVER_MOVE
ListResolverEndpoints DNS_RESOLVER_ENDPOINT_INSPECT e DNS_RESOLVER_READ
CreateResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_CREATE
GetResolverEndpoint DNS_RESOLVER_ENDPOINT_READ
UpdateResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_UPDATE
DeleteResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_DELETE