DNSサービスの詳細

このトピックでは、DNSサービスへのアクセスを制御するポリシーの書込みの詳細を説明します。

集約リソース・タイプ

dns

個々のリソース・タイプ

dns-zones

dns-records

dns-steering-policies

dns-steering-policy-attachments

dns-tsig-keys

dns-views

dns-resolvers

コメント

<verb> dnsを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。

dnsに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。

サポートされている変数

DNSサービスでは、すべての一般的な変数(すべてのリクエストの一般的な変数を参照)とここにリストされている変数がサポートされています。

dns-zonesリソース・タイプには次の変数を使用できます。

変数 変数タイプ コメント
target.dns-zone.id エンティティ(OCID) この変数を使用して、OCID別に特定のDNSゾーンに対するアクセスを制御します。
target.dns-zone.name 文字列 この変数を使用して、名前別に特定のDNSゾーンへのアクセスを制御します。
target.dns-zone.apex-label 文字列 ターゲット・ゾーンの最も重要なDNSラベル。例: ターゲット・ゾーン名が「service.example.com」の場合、この変数の値は「service」になります。
target.dns-zone.parent-domain 文字列 ターゲット・ゾーンの親ゾーンのドメイン名。
target.dns.scope 文字列 有効な値は「public」および「private」です。

dns-recordsリソース・タイプには次の変数を使用できます。

変数 変数タイプ コメント
target.dns-zone.id エンティティ(OCID) この変数を使用して、OCID別に特定のDNSゾーンに対するアクセスを制御します。
target.dns-zone.name 文字列 この変数を使用して、名前別に特定のDNSゾーンへのアクセスを制御します。
target.dns-record.type リスト(文字列) この変数を使用して、タイプ別に特定のDNSレコードへのアクセスを制御します。リストの有効な値は、サポートされている任意のDNSリソース・タイプです。たとえば、「A」、「AAAA」、「TXT」などです。サポートされているリソース・レコードを参照してください。
target.dns-domain.name リスト(文字列)

この変数を使用して、特定のドメイン名へのアクセスを制御します。次のAPI操作に適用されます。

  • GetDomainRecords
  • PatchDomainRecords
  • UpdateDomainRecords
  • DeleteRRSet
  • GetRRSet
  • PatchRRSet
  • UpdateRRSet
target.dns-zone.source-compartment.id エンティティ(OCID)

この変数を使用して、OCID別にDNSゾーンの現在のコンパートメントへのアクセスを制御します。

target.dns-zone.destination-compartment.id エンティティ(OCID)

この変数を使用して、OCID別にDNSゾーンの宛先コンパートメントへのアクセスを制御します。

ノート

特定のサブドメイン内の特定タイプのレコードを変更する際にユーザーを制限するには、認可ポリシーでtarget.dns-record.typeおよびtarget.dns-domain.name変数を使用します。次のようなポリシーを使用すると、特定のユーザー・グループに対して"example.com"ドメイン内の"A"レコードを変更することを許可します: Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'} ユーザーにRRSet API操作の使用を認可するには、このタイプの認可ポリシーを使用する必要があります。

dns-steering-policiesリソース・タイプには次の変数を使用できます。

変数 変数タイプ コメント
target.dns-steering-policy.id エンティティ(OCID) この変数を使用して、OCID別に特定のステアリング・ポリシーへのアクセスを制御します。
target.dns-steering-policy.display-name 文字列 この変数を使用して、名前別に特定のステアリング・ポリシーへのアクセスを制御します。
target.dns-steering-policy.source-compartment.id エンティティ(OCID) この変数を使用して、OCID別にステアリング・ポリシーの現在のコンパートメントへのアクセスを制御します。
target.dns-steering-policy.destination-compartment.id エンティティ(OCID) この変数を使用して、OCID別にステアリング・ポリシーの宛先コンパートメントへのアクセスを制御します。

dns-tsig-keysリソース・タイプには次の変数を使用できます:

変数 変数タイプ コメント
target.dns-tsig-key.id エンティティ(OCID) この変数を使用して、OCID別に特定のTSIGキーへのアクセスを制御します。
target.dns-tsig-key.name 文字列 この変数を使用して、名前別に特定のTSIGキーへのアクセスを制御します。
target.dns-tsig-key.source-compartment.id エンティティ(OCID) この変数を使用して、OCID別に特定のTSIGキーの現在のコンパートメントへのアクセスを制御します。
target.dns-tsig-key.destination-compartment.id エンティティ(OCID) この変数を使用して、OCID別に特定のTSIGキーの宛先コンパートメントへのアクセスを制御します。

dns-viewリソース・タイプには次の変数を使用できます:

変数 変数タイプ コメント
target.dns-view.id エンティティ(OCID) この変数を使用して、OCID別に特定のビューへのアクセスを制御します。
target.dns-view.display-name 文字列 この変数を使用して、名前別に特定のビューへのアクセスを制御します。
target.dns-view.source-compartment.id エンティティ(OCID) この変数を使用して、OCID別に特定のビューの現在のコンパートメントへのアクセスを制御します。
target.dns-view.destination-compartment.id エンティティ(OCID) この変数を使用して、OCID別に特定のビューの宛先コンパートメントへのアクセスを制御します。

dns-resolverリソース・タイプには次の変数を使用できます:

変数 変数タイプ コメント
target.dns-resolver.id エンティティ(OCID) この変数を使用して、OCID別に特定のリゾルバへのアクセスを制御します。
target.dns-resolver.display-name 文字列 この変数を使用して、名前別に特定のリゾルバへのアクセスを制御します。
target.dns-resolver.source-compartment.id エンティティ(OCID) この変数を使用して、OCID別に特定のリゾルバの現在のコンパートメントへのアクセスを制御します。
target.dns-resolver.destination-compartment.id エンティティ(OCID) この変数を使用して、OCID別に特定のリゾルバの宛先コンパートメントへのアクセスを制御します。

dns-resolver-endpointリソース・タイプには次の変数を使用できます:

変数 変数タイプ コメント
target.dns-resolver-endpoint.name 文字列 この変数を使用して、名前別に特定のリゾルバ・エンドポイントへのアクセスを制御します。

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

たとえば、dns-recordsリソース・タイプに対するmanage動詞には、use動詞に比べ、追加の権限またはAPI操作は含まれません。

dns-zones
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DNS_ZONE_INSPECT

ListZones

なし

read

INSPECT +

DNS_ZONE_READ

GetZone GetZoneRecords
use

READ +

DNS_ZONE_UPDATE

UpdateZone

UpdateZoneRecords

PatchZoneRecords

CreateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

manage

UPDATE +

DNS_ZONE_CREATE

DNS_ZONE_DELETE

DNS_ZONE_MOVE

CreateZone

DeleteZone

ChangeZoneCompartment

なし

dns-records
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DNS_RECORD_INSPECT

なし

なし

read

INSPECT +

DNS_RECORD_READ

GetDomainRecords

GetRRSet

GetZoneRecords
use

READ +

DNS_RECORD_UPDATE

PatchDomainRecords

UpdateDomainRecords

DeleteRRSet

PatchRRSet

UpdateRRSet

UpdateZoneRecords

PatchZoneRecords

UpdateSteeringPolicyAttachment

manage

UPDATE +

DNS_RECORD_CREATE

DNS_RECORD_DELETE

余分なし

なし

dns-steering-policies
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DNS_STEERING_POLICY_INSPECT

ListSteeringPolicies

なし

read

INSPECT +

DNS_STEERING_POLICY_READ

GetSteeringPolicy

UpdateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

use

READ +

DNS_POLICY_STEERING_UPDATE

UpdateSteeringPolicy

なし

manage

UPDATE +

DNS_STEERING_POLICY_CREATE

DNS_STEERING_POLICY_DELETE

DNS_STEERING_POLICY_MOVE

CreateSteeringPolicy

DeleteSteeringPolicy

ChangeSteeringPolicyCompartment

なし

dns-steering-policy-attachments
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DNS_STEERING_ATTACHMENT_INSPECT

ListSteeringPolicyAttachments

なし

read

INSPECT +

DNS_STEERING_ATTACHMENT_READ

GetSteeringPolicyAttachment

なし

dns-tsig-keys
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DNS_TSIG_KEY_INSPECT

ListTsigKeys

なし

read

INSPECT +

DNS_TSIG_KEY_READ

GetTsigKey

なし

use

READ +

DNS_TSIG_KEY_UPDATE

UpdateTsigKey

なし

manage

USE +

DNS_TSIG_KEY_CREATE

DNS_TSIG_KEY_DELETE

DNS_TSIG_KEY_MOVE

CreateTsigKey

DeleteTsigKey

ChangeTsigKeyCompartment

なし

dns-views
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DNS_VIEW_INSPECT

ListViews

なし

read

INSPECT +

DNS_VIEW_READ

GetView

なし

use

READ +

DNS_VIEW_UPDATE

UpdateView

なし

manage

USE +

DNS_VIEW_CREATE

DNS_VIEW_DELETE

DNS_VIEW_MOVE

CreateView

DeleteView

ChangeViewCompartment

なし

dns-resolvers
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DNS_RESOLVER_INSPECT

ListResolvers

なし

read

INSPECT +

DNS_RESOLVER_READ

GetResolver

なし

use

READ +

DNS_RESOLVER_UPDATE

UpdateResolver

なし

manage

USE +

DNS_RESOLVER_CREATE

DNS_RESOLVER_DELETE

DNS_RESOLVER_MOVE

CreateResolver

DeleteResolver

ChangeResolverCompartment

なし

dns-resolver-endpoint
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DNS_RESOLVER_ENDPOINT_INSPECT

ListResolverEndpoints

なし

read

INSPECT +

DNS_RESOLVER_ENDPOINT_READ

GetResolverEndpoint

なし

use

READ +

DNS_RESOLVER_ENDPOINT_UPDATE

UpdateResolverEndpoint

なし

manage

USE +

DNS_RESOLVER_ENDPOINT_CREATE

DNS_RESOLVER_ENDPOINT_DELETE

CreateResolverEndpointDeleteResolverEndpoint

なし

各API操作に必要な権限

次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
ListZones DNS_ZONE_INSPECT
CreateZone DNS_ZONE_CREATE
CreateChildZone DNS_ZONE_CREATEおよびDNS_RECORD_UPDATE
DeleteZone DNS_ZONE_DELETE
GetZone DNS_ZONE_READ
UpdateZone DNS_ZONE_UPDATE
ChangeZoneCompartment DNS_ZONE_MOVE
GetZoneRecords DNS_ZONE_READとDNS_RECORD_READ
PatchZoneRecords DNS_ZONE_UPDATEとDNS_RECORD_UPDATE
UpdateZoneRecords DNS_ZONE_UPDATEとDNS_RECORD_UPDATE
GetDomainRecords DNS_RECORD_READ
PatchDomainRecords DNS_RECORD_UPDATE
UpdateDomainRecords DNS_RECORD_UPDATE
DeleteRRSet DNS_RECORD_UPDATE
GetRRSet DNS_RECORD_READ
PatchRRSet DNS_RECORD_UPDATE
UpdateRRSet DNS_RECORD_UPDATE
ListSteeringPolicies DNS_STEERING_POLICY_INSPECT
CreateSteeringPolicy DNS_STEERING_POLICY_CREATE
GetSteeringPolicy DNS_STEERING_POLICY_READ
UpdateSteeringPolicy DNS_STEERING_POLICY_UPDATE
DeleteSteeringPolicy DNS_STEERING_POLICY_DELETE
ChangeSteeringPolicyCompartment DNS_STEERING_POLICY_MOVE
ListSteeringPolicyAttachments DNS_STEERING_ATTACHMENT_INSPECT
CreateSteeringPolicyAttachment DNS_ZONE_UPDATEとDNS_STEERING_POLICY_READ
GetSteeringPolicyAttachment DNS_STEERING_ATTACHMENT_READ
UpdateSteeringPolicyAttachment DNS_ZONE_UPDATEとDNS_STEERING_POLICY_READ
DeleteSteeringPolicyAttachment DNS_ZONE_UPDATEとDNS_STEERING_POLICY_READ
ListTsigKeys DNS_TSIG_KEY_INSPECT
CreateTsigKey DNS_TSIG_KEY_CREATE
GetTsigKey DNS_TSIG_KEY_READ
UpdateTsigKey DNS_TSIG_KEY_UPDATE
DeleteTsigKey DNS_TSIG_KEY_DELETE
ChangeTsigKeyCompartment DNS_TSIG_KEY_MOVE
ListViews DNS_VIEW_INSPECT
CreateView DNS_VIEW_CREATE
GetView DNS_VIEW_READ
UpdateView DNS_VIEW_UPDATE
DeleteView DNS_VIEW_DELETE
ChangeViewCompartment DNS_VIEW_MOVE
ListResolvers DNS_RESOLVER_INSPECT
GetResolver DNS_RESOLVER_READ
UpdateResolver DNS_RESOLVER_UPDATE
ChangeResolverCompartment DNS_RESOLVER_MOVE
ListResolverEndpoints DNS_RESOLVER_ENDPOINT_INSPECTおよびDNS_RESOLVER_READ
CreateResolverEndpoint DNS_RESOLVER_UPDATEおよびDNS_RESOLVER_ENDPOINT_CREATE
GetResolverEndpoint DNS_RESOLVER_ENDPOINT_READ
UpdateResolverEndpoint DNS_RESOLVER_UPDATEおよびDNS_RESOLVER_ENDPOINT_UPDATE
DeleteResolverEndpoint DNS_RESOLVER_UPDATEおよびDNS_RESOLVER_ENDPOINT_DELETE