Security 谷歌云DNS-如何将权限限制为acme挑战的一个区域？_Security_Google Cloud Platform_Dns_Google Cloud Dns_Acme

Security 谷歌云DNS-如何将权限限制为acme挑战的一个区域？

security google-cloud-platform dns

Security 谷歌云DNS-如何将权限限制为acme挑战的一个区域？,security,google-cloud-platform,dns,google-cloud-dns,acme,Security,Google Cloud Platform,Dns,Google Cloud Dns,Acme,有没有办法让Google Cloud IAM服务帐户在Coud DNS中仅限于一个区域？我想将其用于自动ACME DNS-01证书颁发，但我不想添加对所有域/区域的完全控制。我试图将条件设置为服务帐户，但它不起作用-区域名称可能不是资源 Docs说最低的资源是项目，所以确保acme challenge安全的唯一可能性是为该域拥有单独的项目和自己的服务帐户？如果查看云DNS API，您会发现没有API路径包含getIamPolicy或setIamPolicy。这表明您不能在资源级别定义IAM权

有没有办法让Google Cloud IAM服务帐户在Coud DNS中仅限于一个区域？我想将其用于自动ACME DNS-01证书颁发，但我不想添加对所有域/区域的完全控制。我试图将条件设置为服务帐户，但它不起作用-区域名称可能不是资源

Docs说最低的资源是项目，所以确保acme challenge安全的唯一可能性是为该域拥有单独的项目和自己的服务帐户？

如果查看云DNS API，您会发现没有API路径包含

getIamPolicy

或

setIamPolicy

。这表明您不能在资源级别定义IAM权限，而只能在项目级别定义：访问或不访问整个API

因此，您不能将区域管理限制为专用服务帐户。但是，您可以创建另一个项目，并在所需的管理区域上执行DNS对等，并仅授予此项目上的服务帐户。

使用项目分离是我能想到的唯一方法。您可以使用项目a中的DNS服务器托管根区域（example.com）。然后在项目B中创建另一个DNS服务器，该服务器托管子区域（myapi.example.com）。使用NS（名称服务器）资源记录将DNS服务器子区域指向项目B中的DNS服务器。两个项目都不需要对另一个项目的权限。您只是使用DNS提供隔离，这就是整个Internet的设计方式。