是否有办法将谷歌云IAM服务帐户限制为仅在云DNS中的一个区域?我想将此用于自动颁发ACME DNS-01证书,但我不想添加对所有域/区域的完全控制。我尝试将条件设置为服务帐户,但它不起作用-区域名称可能不是资源?
服务帐户条件
文档说最低的资源是项目,所以唯一的可能性有acme挑战安全是有单独的项目与自己的服务帐户的域?https://cloud.google.com/dns/docs/access-control
如果您查看Cloud DNS API,您可以看到没有API路径包含getIamPolicy或setIamPolicy。这表明你不能在资源级别定义IAM权限,而只能在项目级别定义:访问或不访问整个API。
因此,您不能将区域的管理限制为专用服务帐户。但是,您可以创建另一个项目,并在您想要的管理区域上执行DNS对等,并仅授予此项目上的服务帐户。