Documentazione dell'infrastruttura Oracle Cloud

Dettagli per il servizio DNS

In questo argomento vengono descritti i dettagli relativi alla scrittura dei criteri per controllare l'accesso al servizio DNS.

Tipo di risorsa aggregato

dns

Risorse singole - Tipi

dns-zones

dns-records

dns-steering-policies

dns-steering-policy-attachments

dns-tsig-keys

dns-views

dns-resolvers

commenti

Un criterio che utilizza <verb> dns equivale a scriverne uno con un'istruzione <verb> <individual resource-type> separata per ciascuno dei singoli tipi di risorsa.

Per i dettagli delle operazioni API coperte da ciascun verbo, vedere la tabella in Dettagli per le combinazioni di verbi + tipi di risorsa per ogni singolo tipo di risorsa incluso in dns.

Variabili supportate

Il servizio DNS supporta tutte le variabili generali (vedere Variabili generali per tutte le richieste), oltre a quelle elencate qui.

Il tipo di risorsa dns-zones può utilizzare le variabili riportate di seguito.

Variabile Tipo di variabile commenti
target.dns-zone.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a zone DNS specifiche in base all'OCID.
target.dns-zone.name Stringa Utilizzare questa variabile per controllare l'accesso a zone DNS specifiche in base al nome.
target.dns-zone.apex-label Stringa Etichetta DNS più significativa per la zona di destinazione. Esempio: se il nome della zona di destinazione è "service.example.com", il valore di questa variabile sarà "service".
target.dns-zone.parent-domain Stringa Nome di dominio della zona padre della zona di destinazione.
target.dns.scope Stringa I valori validi sono "pubblico" e "privato".

Il tipo di risorsa dns-records può utilizzare le variabili riportate di seguito.

Variabile Tipo di variabile commenti
target.dns-zone.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a zone DNS specifiche in base all'OCID.
target.dns-zone.name Stringa Utilizzare questa variabile per controllare l'accesso a zone DNS specifiche in base al nome.
target.dns-record.type Elenco (stringa) Utilizzare questa variabile per controllare l'accesso a record DNS specifici per tipo. I valori validi nella lista possono essere qualsiasi tipo di risorsa DNS supportato. Ad esempio, "A", "AAAA", "TXT" e così via. Vedere Record delle risorse supportate.
target.dns-domain.name Elenco (stringa)

Utilizzare questa variabile per controllare l'accesso a nomi di dominio specifici. Applicabile alle seguenti operazioni API:

  • GetDomainRecords
  • PatchDomainRecords
  • UpdateDomainRecords
  • DeleteRRSet
  • GetRRSet
  • PatchRRSet
  • UpdateRRSet
target.dns-zone.source-compartment.id Entità (OCID)

Utilizzare questa variabile per controllare l'accesso al compartimento corrente della zona DNS in base all'OCID.
target.dns-zone.destination-compartment.id Entità (OCID)

Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione della zona DNS in base all'OCID.
Nota

Utilizzare le variabili target.dns-record.type e target.dns-domain.name nel criterio di autorizzazione per limitare gli utenti quando si modificano record di un tipo specifico in un sottodominio specifico. Un criterio come questo consentirebbe a un gruppo specifico di utenti di modificare i record "A" nel dominio "example.com": Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'} Gli utenti saranno autorizzati a utilizzare solo le operazioni API RRSet con questo tipo di criterio di autorizzazione.

Il tipo di risorsa dns-steering-policies può utilizzare le variabili riportate di seguito.

Variabile Tipo di variabile commenti
target.dns-steering-policy.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a criteri di indirizzamento specifici in base all'OCID.
target.dns-steering-policy.display-name Stringa Utilizzare questa variabile per controllare l'accesso a criteri di indirizzamento specifici in base al nome.
target.dns-steering-policy.source-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento corrente del criterio di indirizzamento in base all'OCID.
target.dns-steering-policy.destination-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione del criterio di indirizzamento in base all'OCID.

Il tipo di risorsa dns-tsig-keys può utilizzare le variabili riportate di seguito.

Variabile Tipo di variabile commenti
target.dns-tsig-key.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a chiavi TSIG specifiche in base all'OCID.
target.dns-tsig-key.name Stringa Utilizzare questa variabile per controllare l'accesso a chiavi TSIG specifiche in base al nome.
target.dns-tsig-key.source-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento corrente di una chiave TSIG specifica in base all'OCID.
target.dns-tsig-key.destination-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione della chiave TSIG specifica in base all'OCID.

Il tipo di risorsa dns-view può utilizzare le variabili riportate di seguito.

Variabile Tipo di variabile commenti
target.dns-view.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a una vista specifica per OCID.
target.dns-view.display-name Stringa Utilizzare questa variabile per controllare l'accesso a una vista specifica per nome.
target.dns-view.source-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento corrente di una vista specifica in base all'OCID.
target.dns-view.destination-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione della vista specifica in base all'OCID.

Il tipo di risorsa dns-resolver può utilizzare le variabili riportate di seguito.

Variabile Tipo di variabile commenti
target.dns-resolver.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un resolver specifico da parte dell'OCID.
target.dns-resolver.display-name Stringa Utilizzare questa variabile per controllare l'accesso a un resolver specifico in base al nome.
target.dns-resolver.source-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento corrente di un resolver specifico da parte dell'OCID.
target.dns-resolver.destination-compartment.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al compartimento di destinazione del resolver specifico mediante OCID.

Il tipo di risorsa dns-resolver-endpoint può utilizzare le variabili riportate di seguito.

Variabile Tipo di variabile commenti
target.dns-resolver-endpoint.name Stringa Utilizzare questa variabile per controllare l'accesso a endpoint risolutore specifici in base al nome.

Dettagli per le combinazioni verbo-tipo di risorsa

Le tabelle seguenti mostrano le operazioni autorizzazioni e API coperte da ciascun verbo. Il livello di accesso è cumulativo come si va da inspect > read > use > manage. Ad esempio, un gruppo che può utilizzare una risorsa può anche ispezionare e leggere tale risorsa. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "no extra" indica l'assenza di accesso incrementale.

Ad esempio, il verbo manage per il tipo di risorsa dns-records non copre autorizzazioni aggiuntive o operazioni API rispetto al verbo use.

dns-zones
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_ZONE_INSPECT

ListZones

nessuno
leggi

ISPEZIONA +

DNS_ZONE_READ

 GetZone GetZoneRecords
usa

LEGGI +

DNS_ZONE_UPDATE

 UpdateZone

UpdateZoneRecords

PatchZoneRecords

CreateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

gestisci

USE +

DNS_ZONE_CREATE

DNS_ZONE_DELETE

DNS_ZONE_MOVE

CreateZone

DeleteZone

ChangeZoneCompartment

nessuno
dns-records
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_RECORD_INSPECT

nessuno

nessuno
leggi

ISPEZIONA +

DNS_RECORD_READ

GetDomainRecords

GetRRSet

GetZoneRecords
usa

LEGGI +

DNS_RECORD_UPDATE

PatchDomainRecords

UpdateDomainRecords

DeleteRRSet

PatchRRSet

UpdateRRSet

UpdateZoneRecords

PatchZoneRecords

UpdateSteeringPolicyAttachment

gestisci

USE +

DNS_RECORD_CREATE

DNS_RECORD_DELETE

nessun extra

nessuno
dns-steering-policies
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_STEERING_POLICY_INSPECT

 ListSteeringPolicies

nessuno
leggi

ISPEZIONA +

DNS_STEERING_POLICY_READ

 GetSteeringPolicy

UpdateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

usa

LEGGI +

DNS_POLICY_STEERING_UPDATE

 UpdateSteeringPolicy

nessuno
gestisci

USE +

DNS_STEERING_POLICY_CREATE

DNS_STEERING_POLICY_DELETE

DNS_STEERING_POLICY_MOVE

CreateSteeringPolicy

DeleteSteeringPolicy

ChangeSteeringPolicyCompartment

nessuno
dns-steering-policy-attachments
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_STEERING_ATTACHMENT_INSPECT

 ListSteeringPolicyAttachments

nessuno
leggi

ISPEZIONA +

DNS_STEERING_ATTACHMENT_READ

 GetSteeringPolicyAttachment

nessuno
dns-tsig-keys
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_TSIG_KEY_INSPECT

 ListTsigKeys

nessuno
leggi

ISPEZIONA +

DNS_TSIG_KEY_READ

 GetTsigKey

nessuno
usa

LEGGI +

DNS_TSIG_KEY_UPDATE

 UpdateTsigKey

nessuno
gestisci

USE +

DNS_TSIG_KEY_CREATE

DNS_TSIG_KEY_DELETE

DNS_TSIG_KEY_MOVE

CreateTsigKey

DeleteTsigKey

ChangeTsigKeyCompartment

nessuno
dns-views
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_VIEW_INSPECT

 ListViews

nessuno
leggi

ISPEZIONA +

DNS_VIEW_READ

 GetView

nessuno
usa

LEGGI +

DNS_VIEW_UPDATE

 UpdateView

nessuno
gestisci

USE +

DNS_VIEW_CREATE

DNS_VIEW_DELETE

DNS_VIEW_MOVE

CreateView

DeleteView

ChangeViewCompartment

nessuno
dns-resolvers
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_RESOLVER_INSPECT

 ListResolvers

nessuno
leggi

ISPEZIONA +

DNS_RESOLVER_READ

 GetResolver

nessuno
usa

LEGGI +

DNS_RESOLVER_UPDATE

 UpdateResolver

nessuno
gestisci

USE +

DNS_RESOLVER_CREATE

DNS_RESOLVER_DELETE

DNS_RESOLVER_MOVE

CreateResolver

DeleteResolver

ChangeResolverCompartment

nessuno
dns-resolver-endpoint
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

DNS_RESOLVER_ENDPOINT_INSPECT

 ListResolverEndpoints

nessuno
leggi

ISPEZIONA +

DNS_RESOLVER_ENDPOINT_READ

 GetResolverEndpoint

nessuno
usa

LEGGI +

DNS_RESOLVER_ENDPOINT_UPDATE

 UpdateResolverEndpoint

nessuno
gestisci

USE +

DNS_RESOLVER_ENDPOINT_CREATE

DNS_RESOLVER_ENDPOINT_DELETE

CreateResolverEndpoint DeleteResolverEndpoint

nessuno

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListZones DNS_ZONE_INSPECT
CreateZone DNS_ZONE_CREATE
CreateChildZone DNS_ZONE_CREATE e DNS_RECORD_UPDATE
DeleteZone DNS_ZONE_DELETE
GetZone DNS_ZONE_READ
UpdateZone DNS_ZONE_UPDATE
ChangeZoneCompartment DNS_ZONE_MOVE
GetZoneRecords DNS_ZONE_READ e DNS_RECORD_READ
PatchZoneRecords DNS_ZONE_UPDATE e DNS_RECORD_UPDATE
UpdateZoneRecords DNS_ZONE_UPDATE e DNS_RECORD_UPDATE
GetDomainRecords DNS_RECORD_READ
PatchDomainRecords DNS_RECORD_UPDATE
UpdateDomainRecords DNS_RECORD_UPDATE
DeleteRRSet DNS_RECORD_UPDATE
GetRRSet DNS_RECORD_READ
PatchRRSet DNS_RECORD_UPDATE
UpdateRRSet DNS_RECORD_UPDATE
ListSteeringPolicies DNS_STEERING_POLICY_INSPECT
CreateSteeringPolicy DNS_STEERING_POLICY_CREATE
GetSteeringPolicy DNS_STEERING_POLICY_READ
UpdateSteeringPolicy DNS_STEERING_POLICY_UPDATE
DeleteSteeringPolicy DNS_STEERING_POLICY_DELETE
ChangeSteeringPolicyCompartment DNS_STEERING_POLICY_MOVE
ListSteeringPolicyAttachments DNS_STEERING_ATTACHMENT_INSPECT
CreateSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
GetSteeringPolicyAttachment DNS_STEERING_ATTACHMENT_READ
UpdateSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
DeleteSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
ListTsigKeys DNS_TSIG_KEY_INSPECT
CreateTsigKey DNS_TSIG_KEY_CREATE
GetTsigKey DNS_TSIG_KEY_READ
UpdateTsigKey DNS_TSIG_KEY_UPDATE
DeleteTsigKey DNS_TSIG_KEY_DELETE
ChangeTsigKeyCompartment DNS_TSIG_KEY_MOVE
ListViews DNS_VIEW_INSPECT
CreateView DNS_VIEW_CREATE
GetView DNS_VIEW_READ
UpdateView DNS_VIEW_UPDATE
DeleteView DNS_VIEW_DELETE
ChangeViewCompartment DNS_VIEW_MOVE
ListResolvers DNS_RESOLVER_INSPECT
GetResolver DNS_RESOLVER_READ
UpdateResolver DNS_RESOLVER_UPDATE
ChangeResolverCompartment DNS_RESOLVER_MOVE
ListResolverEndpoints DNS_RESOLVER_ENDPOINT_INSPECT e DNS_RESOLVER_READ
CreateResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_CREATE
GetResolverEndpoint DNS_RESOLVER_ENDPOINT_READ
UpdateResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_UPDATE
DeleteResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_DELETE