Documentação do Oracle Cloud Infrastructure

Detalhes do Serviço de DNS

Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao serviço de DNS.

Agregar Tipo de Recurso

dns

Tipos de Recursos Individuais

dns-zones

dns-records

dns-steering-policies

dns-steering-policy-attachments

dns-tsig-keys

dns-views

dns-resolvers

Comentários

Uma política que usa <verb> dns é equivalente a gravar uma instrução <verb> <individual resource-type> separada para cada um dos tipos de recursos individuais.

Consulte a tabela em Detalhes para Combinações de Verbo + Resource-Type para obter um detalhamento das operações da API abrangidas por cada verbo, para cada resource-type individual incluído em dns.

Variáveis Suportadas

O serviço DNS suporta todas as variáveis gerais (consulte Variáveis Gerais para Todas as Solicitações), além das listadas aqui.

O tipo de recurso dns-zones pode usar as seguintes variáveis:

Variável Tipo de variável Comentários
target.dns-zone.id Entidade (OCID) Use esta variável para controlar o acesso a zonas de DNS específicas por OCID.
target.dns-zone.name String Use esta variável para controlar o acesso a zonas DNS específicas por nome.
target.dns-zone.apex-label String O label de DNS mais significativo para a zona de destino. Exemplo: Se o nome da zona de destino for "service.example.com", o valor dessa variável será "service."
target.dns-zone.parent-domain String O nome de domínio da zona mãe da zona de destino.
target.dns.scope String Os valores válidos são "público" e "privado".

O tipo de recurso dns-records pode usar as seguintes variáveis:

Variável Tipo de variável Comentários
target.dns-zone.id Entidade (OCID) Use esta variável para controlar o acesso a zonas de DNS específicas por OCID.
target.dns-zone.name String Use esta variável para controlar o acesso a zonas DNS específicas por nome.
target.dns-record.type List (String) Use esta variável para controlar o acesso a registros DNS específicos por tipo. Os valores válidos na lista podem ser qualquer tipo de recurso DNS suportado. Por exemplo, "A", "AAAA", "TXT" etc. Consulte Registros de Recursos Suportados.
target.dns-domain.name List (String)

Use esta variável para controlar o acesso a nomes de domínio específicos. Aplicável às seguintes operações de API:

  • GetDomainRecords
  • PatchDomainRecords
  • UpdateDomainRecords
  • DeleteRRSet
  • GetRRSet
  • PatchRRSet
  • UpdateRRSet
target.dns-zone.source-compartment.id Entidade (OCID)

Use esta variável para controlar o acesso ao compartimento atual da zona de DNS pelo OCID.
target.dns-zone.destination-compartment.id Entidade (OCID)

Use esta variável para controlar o acesso ao compartimento de destino da zona de DNS pelo OCID.
Observação

Use as variáveis target.dns-record.type e target.dns-domain.name em sua política de autorização para restringir os usuários ao modificar registros de um tipo específico em um subdomínio específico. Uma política como esta opção permite que um grupo específico de usuários modifique os registros "A" no domínio "example.com": Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'} Os usuários só terão autorização para usar operações de API RRSet com este tipo de política de autorização.

O tipo de recurso dns-steering-policies pode usar as seguintes variáveis:

Variável Tipo de variável Comentários
target.dns-steering-policy.id Entidade (OCID) Use esta variável para controlar o acesso a políticas de orientação específicas por OCID.
target.dns-steering-policy.display-name String Use esta variável para controlar o acesso a políticas de orientação específicas por nome.
target.dns-steering-policy.source-compartment.id Entidade (OCID) Use esta variável para controlar o acesso ao compartimento atual da política de orientação pelo OCID.
target.dns-steering-policy.destination-compartment.id Entidade (OCID) Use esta variável para controlar o acesso ao compartimento de destino da política de orientação pelo OCID.

O tipo de recurso dns-tsig-keys pode usar as seguintes variáveis:

Variável Tipo de variável Comentários
target.dns-tsig-key.id Entidade (OCID) Use esta variável para controlar o acesso a chaves TSIG específicas pelo OCID.
target.dns-tsig-key.name String Use esta variável para controlar o acesso a chaves TSIG específicas por nome.
target.dns-tsig-key.source-compartment.id Entidade (OCID) Use esta variável para controlar o acesso ao compartimento atual de uma chave TSIG específica pelo OCID.
target.dns-tsig-key.destination-compartment.id Entidade (OCID) Use esta variável para controlar o acesso ao compartimento de destino da chave TSIG específica pelo OCID.

O tipo de recurso dns-view pode usar as seguintes variáveis:

Variável Tipo de variável Comentários
target.dns-view.id Entidade (OCID) Use essa variável para controlar o acesso a uma view específica por OCID.
target.dns-view.display-name String Use essa variável para controlar o acesso a uma view específica por nome.
target.dns-view.source-compartment.id Entidade (OCID) Use essa variável para controlar o acesso ao compartimento atual de uma view específica por OCID.
target.dns-view.destination-compartment.id Entidade (OCID) Use essa variável para controlar o acesso ao compartimento de destino da view específica por OCID.

O tipo de recurso dns-resolver pode usar as seguintes variáveis:

Variável Tipo de variável Comentários
target.dns-resolver.id Entidade (OCID) Use essa variável para controlar o acesso a um resolvedor específico por OCID.
target.dns-resolver.display-name String Use essa variável para controlar o acesso a um resolvedor específico por nome.
target.dns-resolver.source-compartment.id Entidade (OCID) Use essa variável para controlar o acesso ao compartimento atual de um resolvedor específico por OCID.
target.dns-resolver.destination-compartment.id Entidade (OCID) Use essa variável para controlar o acesso ao compartimento de destino do resolvedor específico por OCID.

O tipo de recurso dns-resolver-endpoint pode usar as seguintes variáveis:

Variável Tipo de variável Comentários
target.dns-resolver-endpoint.name String Use essa variável para controlar o acesso a pontos finais de resolvedor específico por nome.

Detalhes para Combinações de Verbo + Tipo de Recurso

As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect > read > use > manage. Por exemplo, um grupo que pode usar um recurso também pode inspecionar e ler esse recurso. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.

Por exemplo, o verbo manage do tipo de recurso dns-records não abrange permissões extras ou operações de API em comparação com o verbo use.

dns-zones
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

DNS_ZONE_INSPECT

ListZones

none
read

INSPECT +

DNS_ZONE_READ

 GetZone GetZoneRecords
use

READ +

DNS_ZONE_UPDATE

 UpdateZone

UpdateZoneRecords

PatchZoneRecords

CreateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

manage

UPDATE +

DNS_ZONE_CREATE

DNS_ZONE_DELETE

DNS_ZONE_MOVE

CreateZone

DeleteZone

ChangeZoneCompartment

none
dns-records
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

DNS_RECORD_INSPECT

none

none
read

INSPECT +

DNS_RECORD_READ

GetDomainRecords

GetRRSet

GetZoneRecords
use

READ +

DNS_RECORD_UPDATE

PatchDomainRecords

UpdateDomainRecords

DeleteRRSet

PatchRRSet

UpdateRRSet

UpdateZoneRecords

PatchZoneRecords

UpdateSteeringPolicyAttachment

manage

UPDATE +

DNS_RECORD_CREATE

DNS_RECORD_DELETE

sem extra

none
dns-steering-policies
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

DNS_STEERING_POLICY_INSPECT

 ListSteeringPolicies

none
read

INSPECT +

DNS_STEERING_POLICY_READ

 GetSteeringPolicy

UpdateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

use

READ +

DNS_POLICY_STEERING_UPDATE

 UpdateSteeringPolicy

none
manage

UPDATE +

DNS_STEERING_POLICY_CREATE

DNS_STEERING_POLICY_DELETE

DNS_STEERING_POLICY_MOVE

CreateSteeringPolicy

DeleteSteeringPolicy

ChangeSteeringPolicyCompartment

none
dns-steering-policy-attachments
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

DNS_STEERING_ATTACHMENT_INSPECT

 ListSteeringPolicyAttachments

none
read

INSPECT +

DNS_STEERING_ATTACHMENT_READ

 GetSteeringPolicyAttachment

none
dns-tsig-keys
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

DNS_TSIG_KEY_INSPECT

 ListTsigKeys

none
read

INSPECT +

DNS_TSIG_KEY_READ

 GetTsigKey

none
use

READ +

DNS_TSIG_KEY_UPDATE

 UpdateTsigKey

none
manage

USE +

DNS_TSIG_KEY_CREATE

DNS_TSIG_KEY_DELETE

DNS_TSIG_KEY_MOVE

CreateTsigKey

DeleteTsigKey

ChangeTsigKeyCompartment

none
dns-views
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

DNS_VIEW_INSPECT

 ListViews

none
read

INSPECT +

DNS_VIEW_READ

 GetView

none
use

READ +

DNS_VIEW_UPDATE

 UpdateView

none
manage

USE +

DNS_VIEW_CREATE

DNS_VIEW_DELETE

DNS_VIEW_MOVE

CreateView

DeleteView

ChangeViewCompartment

none
dns-resolvers
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

DNS_RESOLVER_INSPECT

 ListResolvers

none
read

INSPECT +

DNS_RESOLVER_READ

 GetResolver

none
use

READ +

DNS_RESOLVER_UPDATE

 UpdateResolver

none
manage

USE +

DNS_RESOLVER_CREATE

DNS_RESOLVER_DELETE

DNS_RESOLVER_MOVE

CreateResolver

DeleteResolver

ChangeResolverCompartment

none
dns-resolver-endpoint
Verbos Permissões APIs Totalmente Abrangidas APIs Parcialmente Abrangidas
inspect

DNS_RESOLVER_ENDPOINT_INSPECT

 ListResolverEndpoints

none
read

INSPECT +

DNS_RESOLVER_ENDPOINT_READ

 GetResolverEndpoint

none
use

READ +

DNS_RESOLVER_ENDPOINT_UPDATE

 UpdateResolverEndpoint

none
manage

USE +

DNS_RESOLVER_ENDPOINT_CREATE

DNS_RESOLVER_ENDPOINT_DELETE

CreateResolverEndpointDeleteResolverEndpoint

none

Permissões Exigidas para Cada Operação de API

A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.

Para obter informações sobre permissões, consulte Permissões.

Operação da API Permissões Necessárias para Usar a Operação
ListZones DNS_ZONE_INSPECT
CreateZone DNS_ZONE_CREATE
CreateChildZone DNS_ZONE_CREATE e DNS_RECORD_UPDATE
DeleteZone DNS_ZONE_DELETE
GetZone DNS_ZONE_READ
UpdateZone DNS_ZONE_UPDATE
ChangeZoneCompartment DNS_ZONE_MOVE
GetZoneRecords DNS_ZONE_READ e DNS_RECORD_READ
PatchZoneRecords DNS_ZONE_UPDATE e DNS_RECORD_UPDATE
UpdateZoneRecords DNS_ZONE_UPDATE e DNS_RECORD_UPDATE
GetDomainRecords DNS_RECORD_READ
PatchDomainRecords DNS_RECORD_UPDATE
UpdateDomainRecords DNS_RECORD_UPDATE
DeleteRRSet DNS_RECORD_UPDATE
GetRRSet DNS_RECORD_READ
PatchRRSet DNS_RECORD_UPDATE
UpdateRRSet DNS_RECORD_UPDATE
ListSteeringPolicies DNS_STEERING_POLICY_INSPECT
CreateSteeringPolicy DNS_STEERING_POLICY_CREATE
GetSteeringPolicy DNS_STEERING_POLICY_READ
UpdateSteeringPolicy DNS_STEERING_POLICY_UPDATE
DeleteSteeringPolicy DNS_STEERING_POLICY_DELETE
ChangeSteeringPolicyCompartment DNS_STEERING_POLICY_MOVE
ListSteeringPolicyAttachments DNS_STEERING_ATTACHMENT_INSPECT
CreateSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
GetSteeringPolicyAttachment DNS_STEERING_ATTACHMENT_READ
UpdateSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
DeleteSteeringPolicyAttachment DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ
ListTsigKeys DNS_TSIG_KEY_INSPECT
CreateTsigKey DNS_TSIG_KEY_CREATE
GetTsigKey DNS_TSIG_KEY_READ
UpdateTsigKey DNS_TSIG_KEY_UPDATE
DeleteTsigKey DNS_TSIG_KEY_DELETE
ChangeTsigKeyCompartment DNS_TSIG_KEY_MOVE
ListViews DNS_VIEW_INSPECT
CreateView DNS_VIEW_CREATE
GetView DNS_VIEW_READ
UpdateView DNS_VIEW_UPDATE
DeleteView DNS_VIEW_DELETE
ChangeViewCompartment DNS_VIEW_MOVE
ListResolvers DNS_RESOLVER_INSPECT
GetResolver DNS_RESOLVER_READ
UpdateResolver DNS_RESOLVER_UPDATE
ChangeResolverCompartment DNS_RESOLVER_MOVE
ListResolverEndpoints DNS_RESOLVER_ENDPOINT_INSPECT e DNS_RESOLVER_READ
CreateResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_CREATE
GetResolverEndpoint DNS_RESOLVER_ENDPOINT_READ
UpdateResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_UPDATE
DeleteResolverEndpoint DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_DELETE