Google Cloud DNS -如何将权限限制在一个区域，以应对acme挑战？

Question

有没有办法将Google Cloud IAM服务帐户限制在Coud DNS中的一个区域？我想使用它自动颁发ACME DNS-01证书，但我不想添加对所有域/区域的完全控制。我尝试将条件设置为服务帐户，但它不起作用-区域名称可能不是资源？

service account condition

Docs说最低的资源是项目，所以确保acme挑战安全的唯一可能是有单独的项目和自己的域服务帐户？https://cloud.google.com/dns/docs/access-control

Answer 1

如果您查看一下Cloud DNS，您会发现没有任何API路径包含getIamPolicy或setIamPolicy。这表明您不能在资源级别定义IAM权限，而只能在项目级别定义IAM权限:访问或不访问整个API。

因此，您不能将区域的管理限制为专用服务帐户。但是，您可以创建另一个项目并在所需的管理区域上执行DNS对等，然后仅授予此项目上的服务帐户。