Documentación de Oracle Cloud Infrastructure

Detalles del servicio DNS

En este tema, se tratan los detalles sobre la escritura de políticas para controlar el acceso al servicio DNS.

Tipo de recurso agregado

dns

Tipos de recursos Individuales

dns-zones

dns-records

dns-steering-policies

dns-steering-policy-attachments

dns-tsig-keys

dns-views

dns-resolvers

Comentarios

Una política que utiliza <verb> dns equivale a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos individuales.

Consulte en la tabla Detalles de combinaciones de verbo + tipo de recurso los detalles de las operaciones de API que cubre cada verbo para cada tipo de recurso individual incluido en dns.

Variables soportadas

El servicio DNS soporta todas las variables generales (consulte Variables generales para todas las solicitudes), además de las que se muestran aquí.

El tipo de recurso dns-zones puede utilizar las siguientes variables:

Variable Tipo de variable Comentarios
target.dns-zone.id Entidad (OCID) Utilice esta variable para controlar el acceso a zonas de DNS específicas por OCID.
target.dns-zone.name Cadena Utilice esta variable para controlar el acceso a zonas de DNS específicas por nombre.
target.dns-zone.apex-label Cadena Etiqueta DNS más importante para la zona de destino. Ejemplo: si el nombre de la zona de destino es "service.example.com", el valor de esta variable será "servicio".
target.dns-zone.parent-domain Cadena El nombre de dominio de la zona principal de la zona de destino.
target.dns.scope Cadena Los valores válidos son "public" y "private".

El tipo de recurso dns-records puede utilizar las siguientes variables:

Variable Tipo de variable Comentarios
target.dns-zone.id Entidad (OCID) Utilice esta variable para controlar el acceso a zonas de DNS específicas por OCID.
target.dns-zone.name Cadena Utilice esta variable para controlar el acceso a zonas de DNS específicas por nombre.
target.dns-record.type List (cadena) Utilice esta variable para controlar el acceso a registros DNS concretos por tipo. Los valores válidos de la lista pueden ser cualquier tipo de recurso de DNS soportado. Por ejemplo, "A", "AAAA", "TXT", etc. Consulte Registros de recursos soportados.
target.dns-domain.name List (cadena)

Utilice esta variable para controlar el acceso a nombres de dominio específicos. Aplicable a las siguientes operaciones de API:

  • GetDomainRecords
  • PatchDomainRecords
  • UpdateDomainRecords
  • DeleteRRSet
  • GetRRSet
  • PatchRRSet
  • UpdateRRSet
target.dns-zone.source-compartment.id Entidad (OCID)

Utilice esta variable para controlar el acceso al compartimento actual de la zona de DNS por OCID.
target.dns-zone.destination-compartment.id Entidad (OCID)

Utilice esta variable para controlar el acceso al compartimento de destino de la zona de DNS por OCID.
Nota

Utilice las variables target.dns-record.type y target.dns-domain.name en la política de autorización para restringir los usuarios al modificar registros de un tipo en concreto en un subdominio en particular. Una política como esta permitirá a un grupo específico de usuarios modificar los registros "A" en el dominio "example.com": Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'} Los usuarios solo podrán usar operaciones de API RRSet con este tipo de política de autorización.

El tipo de recurso dns-steering-policies puede utilizar las siguientes variables:

Variable Tipo de variable Comentarios
target.dns-steering-policy.id Entidad (OCID) Utilice esta variable para controlar el acceso a políticas de dirección específicas por OCID.
target.dns-steering-policy.display-name Cadena Utilice esta variable para controlar el acceso a políticas de dirección específicas por nombre.
target.dns-steering-policy.source-compartment.id Entidad (OCID) Utilice esta variable para controlar el acceso al compartimento actual de la política de dirección por OCID.
target.dns-steering-policy.destination-compartment.id Entidad (OCID) Utilice esta variable para controlar el acceso al compartimento de destino de la política de dirección por OCID.

El tipo de recurso dns-tsig-keys puede utilizar las siguientes variables:

Variable Tipo de variable Comentarios
target.dns-tsig-key.id Entidad (OCID) Utilice esta variable para controlar el acceso a claves TSIG específicas por OCID.
target.dns-tsig-key.name Cadena Utilice esta variable para controlar el acceso a claves TSIG específicas por nombre.
target.dns-tsig-key.source-compartment.id Entidad (OCID) Utilice esta variable para controlar el acceso al compartimento actual de una clave TSIG específica por OCID.
target.dns-tsig-key.destination-compartment.id Entidad (OCID) Utilice esta variable para controlar el acceso al compartimento de destino de una clave TSIG específica por OCID.

El tipo de recurso dns-view puede utilizar las siguientes variables:

Variable Tipo de variable Comentarios
target.dns-view.id Entidad (OCID) Utilice esta variable para controlar el acceso a una vista específica por OCID.
target.dns-view.display-name Cadena Utilice esta variable para controlar el acceso a una vista específica por nombre.
target.dns-view.source-compartment.id Entidad (OCID) Utilice esta variable para controlar el acceso al compartimento actual de una vista específica por OCID.
target.dns-view.destination-compartment.id Entidad (OCID) Utilice esta variable para controlar el acceso al compartimento de destino de una vista específica por OCID.

El tipo de recurso dns-resolver puede utilizar las siguientes variables:

Variable Tipo de variable Comentarios
target.dns-resolver.id Entidad (OCID) Utilice esta variable para controlar el acceso a un solucionador específico por OCID.
target.dns-resolver.display-name Cadena Utilice esta variable para controlar el acceso a un solucionador específico por nombre.
target.dns-resolver.source-compartment.id Entidad (OCID) Utilice esta variable para controlar el acceso al compartimento actual de un solucionador específico por OCID.
target.dns-resolver.destination-compartment.id Entidad (OCID) Utilice esta variable para controlar el acceso al compartimento de destino del solucionador específico por OCID.

El tipo de recurso dns-resolver-endpoint puede utilizar las siguientes variables:

Variable Tipo de variable Comentarios
target.dns-resolver-endpoint.name Cadena Utilice esta variable para controlar el acceso a los puntos finales de un solucionador específico por nombre.

Detalles de combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Por ejemplo, un grupo que puede utilizar un recurso también puede inspeccionar y leer ese recurso. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental.

Por ejemplo, el verbo manage para el tipo de recurso dns-records no abarca permisos adicionales ni operaciones de API en comparación con el verbo use.

dns-zones
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DNS_ZONE_INSPECT

ListZones

ninguna
read

INSPECT +

DNS_ZONE_READ

 GetZone GetZoneRecords
use

READ +

DNS_ZONE_UPDATE

 UpdateZone

UpdateZoneRecords

PatchZoneRecords

CreateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

manage

UPDATE +

DNS_ZONE_CREATE

DNS_ZONE_DELETE

DNS_ZONE_MOVE

CreateZone

DeleteZone

ChangeZoneCompartment

ninguna
dns-records
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DNS_RECORD_INSPECT

ninguna

ninguna
read

INSPECT +

DNS_RECORD_READ

GetDomainRecords

GetRRSet

GetZoneRecords
use

READ +

DNS_RECORD_UPDATE

PatchDomainRecords

UpdateDomainRecords

DeleteRRSet

PatchRRSet

UpdateRRSet

UpdateZoneRecords

PatchZoneRecords

UpdateSteeringPolicyAttachment

manage

UPDATE +

DNS_RECORD_CREATE

DNS_RECORD_DELETE

no extra

ninguna
dns-steering-policies
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DNS_STEERING_POLICY_INSPECT

 ListSteeringPolicies

ninguna
read

INSPECT +

DNS_STEERING_POLICY_READ

 GetSteeringPolicy

UpdateSteeringPolicyAttachment

DeleteSteeringPolicyAttachment

use

READ +

DNS_POLICY_STEERING_UPDATE

 UpdateSteeringPolicy

ninguna
manage

UPDATE +

DNS_STEERING_POLICY_CREATE

DNS_STEERING_POLICY_DELETE

DNS_STEERING_POLICY_MOVE

CreateSteeringPolicy

DeleteSteeringPolicy

ChangeSteeringPolicyCompartment

ninguna
dns-steering-policy-attachments
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DNS_STEERING_ATTACHMENT_INSPECT

 ListSteeringPolicyAttachments

ninguna
read

INSPECT +

DNS_STEERING_ATTACHMENT_READ

 GetSteeringPolicyAttachment

ninguna
dns-tsig-keys
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DNS_TSIG_KEY_INSPECT

 ListTsigKeys

ninguna
read

INSPECT +

DNS_TSIG_KEY_READ

 GetTsigKey

ninguna
use

READ +

DNS_TSIG_KEY_UPDATE

 UpdateTsigKey

ninguna
manage

USE +

DNS_TSIG_KEY_CREATE

DNS_TSIG_KEY_DELETE

DNS_TSIG_KEY_MOVE

CreateTsigKey

DeleteTsigKey

ChangeTsigKeyCompartment

ninguna
dns-views
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DNS_VIEW_INSPECT

 ListViews

ninguna
read

INSPECT +

DNS_VIEW_READ

 GetView

ninguna
use

READ +

DNS_VIEW_UPDATE

 UpdateView

ninguna
manage

USE +

DNS_VIEW_CREATE

DNS_VIEW_DELETE

DNS_VIEW_MOVE

CreateView

DeleteView

ChangeViewCompartment

ninguna
dns-resolvers
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DNS_RESOLVER_INSPECT

 ListResolvers

ninguna
read

INSPECT +

DNS_RESOLVER_READ

 GetResolver

ninguna
use

READ +

DNS_RESOLVER_UPDATE

 UpdateResolver

ninguna
manage

USE +

DNS_RESOLVER_CREATE

DNS_RESOLVER_DELETE

DNS_RESOLVER_MOVE

CreateResolver

DeleteResolver

ChangeResolverCompartment

ninguna
dns-resolver-endpoint
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

DNS_RESOLVER_ENDPOINT_INSPECT

 ListResolverEndpoints

ninguna
read

INSPECT +

DNS_RESOLVER_ENDPOINT_READ

 GetResolverEndpoint

ninguna
use

READ +

DNS_RESOLVER_ENDPOINT_UPDATE

 UpdateResolverEndpoint

ninguna
manage

USE +

DNS_RESOLVER_ENDPOINT_CREATE

DNS_RESOLVER_ENDPOINT_DELETE

CreateResolverEndpointDeleteResolverEndpoint

ninguna

Permisos requeridos para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Para obtener más información sobre los permisos, consulte Permisos.

Operación de API Permisos necesarios para utilizar la operación
ListZones DNS_ZONE_INSPECT
CreateZone DNS_ZONE_CREATE
CreateChildZone DNS_ZONE_CREATE y DNS_RECORD_UPDATE
DeleteZone DNS_ZONE_DELETE
GetZone DNS_ZONE_READ
UpdateZone DNS_ZONE_UPDATE
ChangeZoneCompartment DNS_ZONE_MOVE
GetZoneRecords DNS_ZONE_READ y DNS_RECORD_READ
PatchZoneRecords DNS_ZONE_UPDATE y DNS_RECORD_UPDATE
UpdateZoneRecords DNS_ZONE_UPDATE y DNS_RECORD_UPDATE
GetDomainRecords DNS_RECORD_READ
PatchDomainRecords DNS_RECORD_UPDATE
UpdateDomainRecords DNS_RECORD_UPDATE
DeleteRRSet DNS_RECORD_UPDATE
GetRRSet DNS_RECORD_READ
PatchRRSet DNS_RECORD_UPDATE
UpdateRRSet DNS_RECORD_UPDATE
ListSteeringPolicies DNS_STEERING_POLICY_INSPECT
CreateSteeringPolicy DNS_STEERING_POLICY_CREATE
GetSteeringPolicy DNS_STEERING_POLICY_READ
UpdateSteeringPolicy DNS_STEERING_POLICY_UPDATE
DeleteSteeringPolicy DNS_STEERING_POLICY_DELETE
ChangeSteeringPolicyCompartment DNS_STEERING_POLICY_MOVE
ListSteeringPolicyAttachments DNS_STEERING_ATTACHMENT_INSPECT
CreateSteeringPolicyAttachment DNS_ZONE_UPDATE y DNS_STEERING_POLICY_READ
GetSteeringPolicyAttachment DNS_STEERING_ATTACHMENT_READ
UpdateSteeringPolicyAttachment DNS_ZONE_UPDATE y DNS_STEERING_POLICY_READ
DeleteSteeringPolicyAttachment DNS_ZONE_UPDATE y DNS_STEERING_POLICY_READ
ListTsigKeys DNS_TSIG_KEY_INSPECT
CreateTsigKey DNS_TSIG_KEY_CREATE
GetTsigKey DNS_TSIG_KEY_READ
UpdateTsigKey DNS_TSIG_KEY_UPDATE
DeleteTsigKey DNS_TSIG_KEY_DELETE
ChangeTsigKeyCompartment DNS_TSIG_KEY_MOVE
ListViews DNS_VIEW_INSPECT
CreateView DNS_VIEW_CREATE
GetView DNS_VIEW_READ
UpdateView DNS_VIEW_UPDATE
DeleteView DNS_VIEW_DELETE
ChangeViewCompartment DNS_VIEW_MOVE
ListResolvers DNS_RESOLVER_INSPECT
GetResolver DNS_RESOLVER_READ
UpdateResolver DNS_RESOLVER_UPDATE
ChangeResolverCompartment DNS_RESOLVER_MOVE
ListResolverEndpoints DNS_RESOLVER_ENDPOINT_INSPECT y DNS_RESOLVER_READ
CreateResolverEndpoint DNS_RESOLVER_UPDATE y DNS_RESOLVER_ENDPOINT_CREATE
GetResolverEndpoint DNS_RESOLVER_ENDPOINT_READ
UpdateResolverEndpoint DNS_RESOLVER_UPDATE y DNS_RESOLVER_ENDPOINT_UPDATE
DeleteResolverEndpoint DNS_RESOLVER_UPDATE y DNS_RESOLVER_ENDPOINT_DELETE