GCP Cloud IAM ConditionsでCloud DNSの特定のゾーンだけの編集を許可する
ことってできない……?
RESTリクエストする時に使う /projects/:proj/managedZones/:hogeみたいなやつを使って resource.name == "/projects/:proj/managedZones/:hoge" みたいなこと書いても forbidden: Forbidden (Google::Cloud::PermissionDeniedError)となってそう。
このロールを付与できる最下位レベルのリソース:
プロジェクト
となってるからダメか。projectを分けろということなのだろうか……。
これだとそのサービスアカウントに編集させたいzone以外のzoneも編集できてしまう気がする。
https://gyazo.com/68a4fc725758aacb7e6bbc02e3d4f138