Detalhes do Serviço de DNS
Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao serviço de DNS.
Agregar Tipo de Recurso
dns
Tipos de Recursos Individuais
dns-zones
dns-records
dns-steering-policies
dns-steering-policy-attachments
dns-tsig-keys
dns-views
dns-resolvers
Comentários
Uma política que usa <verb> dns
é equivalente a gravar uma instrução <verb> <individual resource-type>
separada para cada um dos tipos de recursos individuais.
Consulte a tabela em Detalhes para Combinações de Verbo + Resource-Type para obter um detalhamento das operações da API abrangidas por cada verbo, para cada resource-type individual incluído em dns
.
Variáveis Suportadas
O serviço DNS suporta todas as variáveis gerais (consulte Variáveis Gerais para Todas as Solicitações), além das listadas aqui.
O tipo de recurso dns-zones
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.dns-zone.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a zonas de DNS específicas por OCID. |
target.dns-zone.name
|
String | Use esta variável para controlar o acesso a zonas DNS específicas por nome. |
target.dns-zone.apex-label
|
String | O label de DNS mais significativo para a zona de destino. Exemplo: Se o nome da zona de destino for "service.example.com", o valor dessa variável será "service." |
target.dns-zone.parent-domain
|
String | O nome de domínio da zona mãe da zona de destino. |
target.dns.scope
|
String | Os valores válidos são "público" e "privado". |
O tipo de recurso dns-records
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.dns-zone.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a zonas de DNS específicas por OCID. |
target.dns-zone.name
|
String | Use esta variável para controlar o acesso a zonas DNS específicas por nome. |
target.dns-record.type
|
List (String) | Use esta variável para controlar o acesso a registros DNS específicos por tipo. Os valores válidos na lista podem ser qualquer tipo de recurso DNS suportado. Por exemplo, "A", "AAAA", "TXT" etc. Consulte Registros de Recursos Suportados. |
target.dns-domain.name
|
List (String) |
Use esta variável para controlar o acesso a nomes de domínio específicos. Aplicável às seguintes operações de API:
|
target.dns-zone.source-compartment.id
|
Entidade (OCID) |
Use esta variável para controlar o acesso ao compartimento atual da zona de DNS pelo OCID. |
target.dns-zone.destination-compartment.id
|
Entidade (OCID) |
Use esta variável para controlar o acesso ao compartimento de destino da zona de DNS pelo OCID. |
Use as variáveis
target.dns-record.type
e target.dns-domain.name
em sua política de autorização para restringir os usuários ao modificar registros de um tipo específico em um subdomínio específico. Uma política como esta opção permite que um grupo específico de usuários modifique os registros "A" no domínio "example.com": Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'}
Os usuários só terão autorização para usar operações de API RRSet com este tipo de política de autorização.
O tipo de recurso dns-steering-policies
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.dns-steering-policy.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a políticas de orientação específicas por OCID. |
target.dns-steering-policy.display-name
|
String | Use esta variável para controlar o acesso a políticas de orientação específicas por nome. |
target.dns-steering-policy.source-compartment.id
|
Entidade (OCID) | Use esta variável para controlar o acesso ao compartimento atual da política de orientação pelo OCID. |
target.dns-steering-policy.destination-compartment.id
|
Entidade (OCID) | Use esta variável para controlar o acesso ao compartimento de destino da política de orientação pelo OCID. |
O tipo de recurso dns-tsig-keys
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.dns-tsig-key.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a chaves TSIG específicas pelo OCID. |
target.dns-tsig-key.name
|
String | Use esta variável para controlar o acesso a chaves TSIG específicas por nome. |
target.dns-tsig-key.source-compartment.id
|
Entidade (OCID) | Use esta variável para controlar o acesso ao compartimento atual de uma chave TSIG específica pelo OCID. |
target.dns-tsig-key.destination-compartment.id
|
Entidade (OCID) | Use esta variável para controlar o acesso ao compartimento de destino da chave TSIG específica pelo OCID. |
O tipo de recurso dns-view
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.dns-view.id
|
Entidade (OCID) | Use essa variável para controlar o acesso a uma view específica por OCID. |
target.dns-view.display-name
|
String | Use essa variável para controlar o acesso a uma view específica por nome. |
target.dns-view.source-compartment.id
|
Entidade (OCID) | Use essa variável para controlar o acesso ao compartimento atual de uma view específica por OCID. |
target.dns-view.destination-compartment.id
|
Entidade (OCID) | Use essa variável para controlar o acesso ao compartimento de destino da view específica por OCID. |
O tipo de recurso dns-resolver
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.dns-resolver.id
|
Entidade (OCID) | Use essa variável para controlar o acesso a um resolvedor específico por OCID. |
target.dns-resolver.display-name
|
String | Use essa variável para controlar o acesso a um resolvedor específico por nome. |
target.dns-resolver.source-compartment.id
|
Entidade (OCID) | Use essa variável para controlar o acesso ao compartimento atual de um resolvedor específico por OCID. |
target.dns-resolver.destination-compartment.id
|
Entidade (OCID) | Use essa variável para controlar o acesso ao compartimento de destino do resolvedor específico por OCID. |
O tipo de recurso dns-resolver-endpoint
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.dns-resolver-endpoint.name
|
String | Use essa variável para controlar o acesso a pontos finais de resolvedor específico por nome. |
Detalhes para Combinações de Verbo + Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect
> read
> use
> manage
. Por exemplo, um grupo que pode usar um recurso também pode inspecionar e ler esse recurso. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.
Por exemplo, o verbo manage
do tipo de recurso dns-records
não abrange permissões extras ou operações de API em comparação com o verbo use
.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DNS_ZONE_INSPECT |
|
none |
read | INSPECT + DNS_ZONE_READ |
GetZone
|
GetZoneRecords
|
use | READ + DNS_ZONE_UPDATE |
UpdateZone
|
|
manage | UPDATE + DNS_ZONE_CREATE DNS_ZONE_DELETE DNS_ZONE_MOVE |
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DNS_RECORD_INSPECT |
none |
none |
read | INSPECT + DNS_RECORD_READ |
|
GetZoneRecords
|
use | READ + DNS_RECORD_UPDATE |
|
|
manage | UPDATE + DNS_RECORD_CREATE DNS_RECORD_DELETE |
sem extra |
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DNS_STEERING_POLICY_INSPECT |
ListSteeringPolicies
|
none |
read | INSPECT + DNS_STEERING_POLICY_READ |
GetSteeringPolicy
|
|
use | READ + DNS_POLICY_STEERING_UPDATE |
UpdateSteeringPolicy
|
none |
manage | UPDATE + DNS_STEERING_POLICY_CREATE DNS_STEERING_POLICY_DELETE DNS_STEERING_POLICY_MOVE |
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DNS_STEERING_ATTACHMENT_INSPECT |
ListSteeringPolicyAttachments
|
none |
read | INSPECT + DNS_STEERING_ATTACHMENT_READ |
GetSteeringPolicyAttachment
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DNS_TSIG_KEY_INSPECT |
ListTsigKeys
|
none |
read | INSPECT + DNS_TSIG_KEY_READ |
GetTsigKey
|
none |
use | READ + DNS_TSIG_KEY_UPDATE |
UpdateTsigKey
|
none |
manage | USE + DNS_TSIG_KEY_CREATE DNS_TSIG_KEY_DELETE DNS_TSIG_KEY_MOVE |
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DNS_VIEW_INSPECT |
ListViews
|
none |
read | INSPECT + DNS_VIEW_READ |
GetView
|
none |
use | READ + DNS_VIEW_UPDATE |
UpdateView
|
none |
manage | USE + DNS_VIEW_CREATE DNS_VIEW_DELETE DNS_VIEW_MOVE |
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DNS_RESOLVER_INSPECT |
ListResolvers
|
none |
read | INSPECT + DNS_RESOLVER_READ |
GetResolver
|
none |
use | READ + DNS_RESOLVER_UPDATE |
UpdateResolver
|
none |
manage | USE + DNS_RESOLVER_CREATE DNS_RESOLVER_DELETE DNS_RESOLVER_MOVE |
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | DNS_RESOLVER_ENDPOINT_INSPECT |
ListResolverEndpoints
|
none |
read | INSPECT + DNS_RESOLVER_ENDPOINT_READ |
GetResolverEndpoint
|
none |
use | READ + DNS_RESOLVER_ENDPOINT_UPDATE |
UpdateResolverEndpoint
|
none |
manage | USE + DNS_RESOLVER_ENDPOINT_CREATE DNS_RESOLVER_ENDPOINT_DELETE |
|
none |
Permissões Exigidas para Cada Operação de API
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.
Para obter informações sobre permissões, consulte Permissões.
Operação da API | Permissões Necessárias para Usar a Operação |
---|---|
ListZones
|
DNS_ZONE_INSPECT |
CreateZone
|
DNS_ZONE_CREATE |
CreateChildZone
|
DNS_ZONE_CREATE e DNS_RECORD_UPDATE |
DeleteZone
|
DNS_ZONE_DELETE |
GetZone
|
DNS_ZONE_READ |
UpdateZone
|
DNS_ZONE_UPDATE |
ChangeZoneCompartment
|
DNS_ZONE_MOVE |
GetZoneRecords
|
DNS_ZONE_READ e DNS_RECORD_READ |
PatchZoneRecords
|
DNS_ZONE_UPDATE e DNS_RECORD_UPDATE |
UpdateZoneRecords
|
DNS_ZONE_UPDATE e DNS_RECORD_UPDATE |
GetDomainRecords
|
DNS_RECORD_READ |
PatchDomainRecords
|
DNS_RECORD_UPDATE |
UpdateDomainRecords
|
DNS_RECORD_UPDATE |
DeleteRRSet
|
DNS_RECORD_UPDATE |
GetRRSet
|
DNS_RECORD_READ |
PatchRRSet
|
DNS_RECORD_UPDATE |
UpdateRRSet
|
DNS_RECORD_UPDATE |
ListSteeringPolicies
|
DNS_STEERING_POLICY_INSPECT |
CreateSteeringPolicy
|
DNS_STEERING_POLICY_CREATE |
GetSteeringPolicy
|
DNS_STEERING_POLICY_READ |
UpdateSteeringPolicy
|
DNS_STEERING_POLICY_UPDATE |
DeleteSteeringPolicy
|
DNS_STEERING_POLICY_DELETE |
ChangeSteeringPolicyCompartment
|
DNS_STEERING_POLICY_MOVE |
ListSteeringPolicyAttachments
|
DNS_STEERING_ATTACHMENT_INSPECT |
CreateSteeringPolicyAttachment
|
DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ |
GetSteeringPolicyAttachment
|
DNS_STEERING_ATTACHMENT_READ |
UpdateSteeringPolicyAttachment
|
DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ |
DeleteSteeringPolicyAttachment
|
DNS_ZONE_UPDATE e DNS_STEERING_POLICY_READ |
ListTsigKeys
|
DNS_TSIG_KEY_INSPECT |
CreateTsigKey
|
DNS_TSIG_KEY_CREATE |
GetTsigKey
|
DNS_TSIG_KEY_READ |
UpdateTsigKey
|
DNS_TSIG_KEY_UPDATE |
DeleteTsigKey
|
DNS_TSIG_KEY_DELETE |
ChangeTsigKeyCompartment
|
DNS_TSIG_KEY_MOVE |
ListViews
|
DNS_VIEW_INSPECT |
CreateView
|
DNS_VIEW_CREATE |
GetView
|
DNS_VIEW_READ |
UpdateView
|
DNS_VIEW_UPDATE |
DeleteView
|
DNS_VIEW_DELETE |
ChangeViewCompartment
|
DNS_VIEW_MOVE |
ListResolvers
|
DNS_RESOLVER_INSPECT |
GetResolver
|
DNS_RESOLVER_READ |
UpdateResolver |
DNS_RESOLVER_UPDATE |
ChangeResolverCompartment |
DNS_RESOLVER_MOVE |
ListResolverEndpoints |
DNS_RESOLVER_ENDPOINT_INSPECT e DNS_RESOLVER_READ |
CreateResolverEndpoint |
DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_CREATE |
GetResolverEndpoint |
DNS_RESOLVER_ENDPOINT_READ |
UpdateResolverEndpoint |
DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_UPDATE |
DeleteResolverEndpoint |
DNS_RESOLVER_UPDATE e DNS_RESOLVER_ENDPOINT_DELETE |