问题描述
有没有办法让 Google Cloud IAM 服务帐户仅限于 Coud DNS 中的一个区域?我想使用它来自动颁发 Acme DNS-01 证书,但我不想添加对所有域/区域的完全控制。我尝试将 Condition 设置为 Service account,但它不起作用 - 区域名称可能不是资源?
Docs 说最低的资源是 Project,所以唯一可能获得 acme 挑战的可能性是为该域拥有单独的 Project 和自己的服务帐户? https://cloud.google.com/dns/docs/access-control
解决方法
如果您查看 Cloud DNS API,您会发现没有 API 路径包含 getIamPolicy 或 setIamPolicy。这表明您不能在资源级别定义 IAM 权限,而只能在项目级别:访问或不访问整个 API。
因此,您不能将区域的管理限制为专用服务帐户。但是,您可以创建另一个项目并在所需的管理区域上执行 DNS 对等互连,并仅授予此项目的服务帐户。