DNSサービスの詳細
このトピックでは、DNSサービスへのアクセスを制御するポリシーの書込みの詳細を説明します。
集約リソース・タイプ
dns
個々のリソース・タイプ
dns-zones
dns-records
dns-steering-policies
dns-steering-policy-attachments
dns-tsig-keys
dns-views
dns-resolvers
コメント
<verb> dnsを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。
dnsに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
サポートされている変数
DNSサービスでは、すべての一般的な変数(すべてのリクエストの一般的な変数を参照)とここにリストされている変数がサポートされています。
dns-zonesリソース・タイプには次の変数を使用できます。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.dns-zone.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のDNSゾーンに対するアクセスを制御します。 |
target.dns-zone.name
|
文字列 | この変数を使用して、名前別に特定のDNSゾーンへのアクセスを制御します。 |
target.dns-zone.apex-label
|
文字列 | ターゲット・ゾーンの最も重要なDNSラベル。例: ターゲット・ゾーン名が「service.example.com」の場合、この変数の値は「service」になります。 |
target.dns-zone.parent-domain
|
文字列 | ターゲット・ゾーンの親ゾーンのドメイン名。 |
target.dns.scope
|
文字列 | 有効な値は「public」および「private」です。 |
dns-recordsリソース・タイプには次の変数を使用できます。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.dns-zone.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のDNSゾーンに対するアクセスを制御します。 |
target.dns-zone.name
|
文字列 | この変数を使用して、名前別に特定のDNSゾーンへのアクセスを制御します。 |
target.dns-record.type
|
リスト(文字列) | この変数を使用して、タイプ別に特定のDNSレコードへのアクセスを制御します。リストの有効な値は、サポートされている任意のDNSリソース・タイプです。たとえば、「A」、「AAAA」、「TXT」などです。サポートされているリソース・レコードを参照してください。 |
target.dns-domain.name
|
リスト(文字列) |
この変数を使用して、特定のドメイン名へのアクセスを制御します。次のAPI操作に適用されます。
|
target.dns-zone.source-compartment.id
|
エンティティ(OCID) |
この変数を使用して、OCID別にDNSゾーンの現在のコンパートメントへのアクセスを制御します。 |
target.dns-zone.destination-compartment.id
|
エンティティ(OCID) |
この変数を使用して、OCID別にDNSゾーンの宛先コンパートメントへのアクセスを制御します。 |
特定のサブドメイン内の特定タイプのレコードを変更する際にユーザーを制限するには、認可ポリシーで
target.dns-record.typeおよびtarget.dns-domain.name変数を使用します。次のようなポリシーを使用すると、特定のユーザー・グループに対して"example.com"ドメイン内の"A"レコードを変更することを許可します: Allow group <GroupName> to use dns in compartment <CompartmentName> where all {target.dns-record.type='A', target.dns-domain.name = 'example.com'} ユーザーにRRSet API操作の使用を認可するには、このタイプの認可ポリシーを使用する必要があります。
dns-steering-policiesリソース・タイプには次の変数を使用できます。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.dns-steering-policy.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のステアリング・ポリシーへのアクセスを制御します。 |
target.dns-steering-policy.display-name
|
文字列 | この変数を使用して、名前別に特定のステアリング・ポリシーへのアクセスを制御します。 |
target.dns-steering-policy.source-compartment.id
|
エンティティ(OCID) | この変数を使用して、OCID別にステアリング・ポリシーの現在のコンパートメントへのアクセスを制御します。 |
target.dns-steering-policy.destination-compartment.id
|
エンティティ(OCID) | この変数を使用して、OCID別にステアリング・ポリシーの宛先コンパートメントへのアクセスを制御します。 |
dns-tsig-keysリソース・タイプには次の変数を使用できます:
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.dns-tsig-key.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のTSIGキーへのアクセスを制御します。 |
target.dns-tsig-key.name
|
文字列 | この変数を使用して、名前別に特定のTSIGキーへのアクセスを制御します。 |
target.dns-tsig-key.source-compartment.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のTSIGキーの現在のコンパートメントへのアクセスを制御します。 |
target.dns-tsig-key.destination-compartment.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のTSIGキーの宛先コンパートメントへのアクセスを制御します。 |
dns-viewリソース・タイプには次の変数を使用できます:
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.dns-view.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のビューへのアクセスを制御します。 |
target.dns-view.display-name
|
文字列 | この変数を使用して、名前別に特定のビューへのアクセスを制御します。 |
target.dns-view.source-compartment.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のビューの現在のコンパートメントへのアクセスを制御します。 |
target.dns-view.destination-compartment.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のビューの宛先コンパートメントへのアクセスを制御します。 |
dns-resolverリソース・タイプには次の変数を使用できます:
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.dns-resolver.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のリゾルバへのアクセスを制御します。 |
target.dns-resolver.display-name
|
文字列 | この変数を使用して、名前別に特定のリゾルバへのアクセスを制御します。 |
target.dns-resolver.source-compartment.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のリゾルバの現在のコンパートメントへのアクセスを制御します。 |
target.dns-resolver.destination-compartment.id
|
エンティティ(OCID) | この変数を使用して、OCID別に特定のリゾルバの宛先コンパートメントへのアクセスを制御します。 |
dns-resolver-endpointリソース・タイプには次の変数を使用できます:
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.dns-resolver-endpoint.name
|
文字列 | この変数を使用して、名前別に特定のリゾルバ・エンドポイントへのアクセスを制御します。 |
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。
たとえば、dns-recordsリソース・タイプに対するmanage動詞には、use動詞に比べ、追加の権限またはAPI操作は含まれません。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | DNS_ZONE_INSPECT |
|
なし |
| read | INSPECT + DNS_ZONE_READ |
GetZone
|
GetZoneRecords
|
| use | READ + DNS_ZONE_UPDATE |
UpdateZone
|
|
| manage | UPDATE + DNS_ZONE_CREATE DNS_ZONE_DELETE DNS_ZONE_MOVE |
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | DNS_RECORD_INSPECT |
なし |
なし |
| read | INSPECT + DNS_RECORD_READ |
|
GetZoneRecords
|
| use | READ + DNS_RECORD_UPDATE |
|
|
| manage | UPDATE + DNS_RECORD_CREATE DNS_RECORD_DELETE |
余分なし |
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | DNS_STEERING_POLICY_INSPECT |
ListSteeringPolicies
|
なし |
| read | INSPECT + DNS_STEERING_POLICY_READ |
GetSteeringPolicy
|
|
| use | READ + DNS_POLICY_STEERING_UPDATE |
UpdateSteeringPolicy
|
なし |
| manage | UPDATE + DNS_STEERING_POLICY_CREATE DNS_STEERING_POLICY_DELETE DNS_STEERING_POLICY_MOVE |
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | DNS_STEERING_ATTACHMENT_INSPECT |
ListSteeringPolicyAttachments
|
なし |
| read | INSPECT + DNS_STEERING_ATTACHMENT_READ |
GetSteeringPolicyAttachment
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | DNS_TSIG_KEY_INSPECT |
ListTsigKeys
|
なし |
| read | INSPECT + DNS_TSIG_KEY_READ |
GetTsigKey
|
なし |
| use | READ + DNS_TSIG_KEY_UPDATE |
UpdateTsigKey
|
なし |
| manage | USE + DNS_TSIG_KEY_CREATE DNS_TSIG_KEY_DELETE DNS_TSIG_KEY_MOVE |
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | DNS_VIEW_INSPECT |
ListViews
|
なし |
| read | INSPECT + DNS_VIEW_READ |
GetView
|
なし |
| use | READ + DNS_VIEW_UPDATE |
UpdateView
|
なし |
| manage | USE + DNS_VIEW_CREATE DNS_VIEW_DELETE DNS_VIEW_MOVE |
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | DNS_RESOLVER_INSPECT |
ListResolvers
|
なし |
| read | INSPECT + DNS_RESOLVER_READ |
GetResolver
|
なし |
| use | READ + DNS_RESOLVER_UPDATE |
UpdateResolver
|
なし |
| manage | USE + DNS_RESOLVER_CREATE DNS_RESOLVER_DELETE DNS_RESOLVER_MOVE |
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | DNS_RESOLVER_ENDPOINT_INSPECT |
ListResolverEndpoints
|
なし |
| read | INSPECT + DNS_RESOLVER_ENDPOINT_READ |
GetResolverEndpoint
|
なし |
| use | READ + DNS_RESOLVER_ENDPOINT_UPDATE |
UpdateResolverEndpoint
|
なし |
| manage | USE + DNS_RESOLVER_ENDPOINT_CREATE DNS_RESOLVER_ENDPOINT_DELETE |
|
なし |
各API操作に必要な権限
次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListZones
|
DNS_ZONE_INSPECT |
CreateZone
|
DNS_ZONE_CREATE |
CreateChildZone
|
DNS_ZONE_CREATEおよびDNS_RECORD_UPDATE |
DeleteZone
|
DNS_ZONE_DELETE |
GetZone
|
DNS_ZONE_READ |
UpdateZone
|
DNS_ZONE_UPDATE |
ChangeZoneCompartment
|
DNS_ZONE_MOVE |
GetZoneRecords
|
DNS_ZONE_READとDNS_RECORD_READ |
PatchZoneRecords
|
DNS_ZONE_UPDATEとDNS_RECORD_UPDATE |
UpdateZoneRecords
|
DNS_ZONE_UPDATEとDNS_RECORD_UPDATE |
GetDomainRecords
|
DNS_RECORD_READ |
PatchDomainRecords
|
DNS_RECORD_UPDATE |
UpdateDomainRecords
|
DNS_RECORD_UPDATE |
DeleteRRSet
|
DNS_RECORD_UPDATE |
GetRRSet
|
DNS_RECORD_READ |
PatchRRSet
|
DNS_RECORD_UPDATE |
UpdateRRSet
|
DNS_RECORD_UPDATE |
ListSteeringPolicies
|
DNS_STEERING_POLICY_INSPECT |
CreateSteeringPolicy
|
DNS_STEERING_POLICY_CREATE ヘルス・チェック・モニターが指定されている場合は、ヘルス・チェック・モニターを取得する権限も必要です。詳細は、ヘルス・チェックの詳細を参照してください。 |
GetSteeringPolicy
|
DNS_STEERING_POLICY_READ |
UpdateSteeringPolicy
|
DNS_STEERING_POLICY_UPDATE |
DeleteSteeringPolicy
|
DNS_STEERING_POLICY_DELETE |
ChangeSteeringPolicyCompartment
|
DNS_STEERING_POLICY_MOVE |
ListSteeringPolicyAttachments
|
DNS_STEERING_ATTACHMENT_INSPECT |
CreateSteeringPolicyAttachment
|
DNS_ZONE_UPDATEとDNS_STEERING_POLICY_READ |
GetSteeringPolicyAttachment
|
DNS_STEERING_ATTACHMENT_READ |
UpdateSteeringPolicyAttachment
|
DNS_ZONE_UPDATEとDNS_STEERING_POLICY_READ |
DeleteSteeringPolicyAttachment
|
DNS_ZONE_UPDATEとDNS_STEERING_POLICY_READ |
ListTsigKeys
|
DNS_TSIG_KEY_INSPECT |
CreateTsigKey
|
DNS_TSIG_KEY_CREATE |
GetTsigKey
|
DNS_TSIG_KEY_READ |
UpdateTsigKey
|
DNS_TSIG_KEY_UPDATE |
DeleteTsigKey
|
DNS_TSIG_KEY_DELETE |
ChangeTsigKeyCompartment
|
DNS_TSIG_KEY_MOVE |
ListViews
|
DNS_VIEW_INSPECT |
CreateView
|
DNS_VIEW_CREATE |
GetView
|
DNS_VIEW_READ |
UpdateView
|
DNS_VIEW_UPDATE |
DeleteView
|
DNS_VIEW_DELETE |
ChangeViewCompartment
|
DNS_VIEW_MOVE |
ListResolvers
|
DNS_RESOLVER_INSPECT |
GetResolver
|
DNS_RESOLVER_READ |
UpdateResolver |
DNS_RESOLVER_UPDATE |
ChangeResolverCompartment |
DNS_RESOLVER_MOVE |
ListResolverEndpoints |
DNS_RESOLVER_ENDPOINT_INSPECTおよびDNS_RESOLVER_READ |
CreateResolverEndpoint |
DNS_RESOLVER_UPDATEおよびDNS_RESOLVER_ENDPOINT_CREATE |
GetResolverEndpoint |
DNS_RESOLVER_ENDPOINT_READ |
UpdateResolverEndpoint |
DNS_RESOLVER_UPDATEおよびDNS_RESOLVER_ENDPOINT_UPDATE |
DeleteResolverEndpoint |
DNS_RESOLVER_UPDATEおよびDNS_RESOLVER_ENDPOINT_DELETE |