了解跨帐户访问权
通过启用跨帐户访问,在 IBM 云帐户之间安全地共享 DNS 区域。
通过跨帐户访问,您可以拥有完全私有的 DNS 区域和资源记录信息。 只有与 DNS 区域关联的 VPC 才能通过 IBM Cloud上的专用网络访问数据。 无法从因特网公开访问 DNS 区域和记录。
以前,只有来自与供应的 DNS 区域相同的帐户的 VPC 才能访问 DNS 区域。 通过跨帐户访问,现在可以授予来自不同帐户的 VPC 访问权。
跨帐户访问的功能
跨帐户访问功能随 IBM Cloud® DNS Services (标准套餐) 提供,并通过 UI , CLI 和 API 提供。 获取所有者的 DNS Services 实例的区域标识和标识后,您 (作为请求者) 可以在 DNS Services 实例中创建链接的区域。
作为请求者,您可以创建链接区域并请求访问其他帐户中的资源。 然后,所有者将复审跨帐户访问请求,并核准或拒绝您的请求。 核准请求后,您可以将其资源作为允许的网络添加到帐户中。
了解关键术语
要了解跨帐户访问功能的整体设计,它有助于了解一些关键术语:
- 链接区域
- 当您需要从另一个帐户中定义的专用 DNS 区域访问 DNS 资源记录时,可以创建请求以访问另一个帐户中的区域。 然后,可以将其他帐户中的 DNS 资源记录添加为 DNS Services 实例中的链接区域。
- 跨帐户访问权
- 请求者根据所有者提供的实例的区域标识和标识创建链接区域时,所有者将接收到该区域的跨帐户访问请求。
跨帐户访问工作流程的示例
在此示例中,客户具有多个基于其业务单位的 IBM Cloud 帐户。
- 帐户
A
是提供服务 (例如,数据库) 的 IT 服务单元。 - 帐户
B
是生产单元。
帐户 A
已创建专用 DNS 区域 services.customer.com
,并且在此区域中,它们具有 database.services.customer.com
的资源记录。
因为生产单元需要访问数据库,所以它必须能够从帐户 B
中的 VPC 解析资源记录 databases.services.customer.com
。 要完成此操作,帐户 B
的管理员将执行以下操作:
- 创建 DNS Services 实例
Private DNS-1
- 从帐户
A
获取实例的区域标识和标识 - 在实例
Private DNS-1
中创建链接区域 - 等待帐户
A
的管理员核准跨帐户访问权请求 - 核准请求后,将帐户
B
中的 VPC 添加为帐户A
中允许的网络