3

有没有办法将 Google Cloud IAM 服务帐户限制在 Coud DNS 中的一个区域?我想用它来自动颁发 ACME DNS-01 证书,但我不想添加对所有域/区域的完全控制。我尝试将条件设置为服务帐户,但它不起作用 - 区域名称可能不是资源?

服务帐户条件

Docs 说最低资源是项目,因此唯一可能获得安全挑战的唯一可能是拥有单独的项目,并为该域拥有自己的服务帐户? https://cloud.google.com/dns/docs/access-control

4

1 回答 1

5

如果您查看 Cloud DNS API,您会发现没有任何 API 路径包含 agetIamPolicy或 a setIamPolicy。这表明您不能在资源级别定义 IAM 权限,而只能在项目级别:访问或不访问整个 API。

因此,您不能将区域的管理限制为专用服务帐户。但是,您可以创建另一个项目并在所需的管理区域上执行 DNS 对等互连,并仅授予此项目的服务帐户。

于 2021-01-19T20:23:29.560 回答