GCP Cloud IAM ConditionsでCloud DNSの特定のゾーンだけの編集を許可する

ことってできない……？

適当なサービスアカウントを作って、Cloud DNSの編集をそのアカウントからやりたいと思ったけど、 https://cloud.google.com/iam/docs/conditions-resource-attributes のリソース属性にはDNS無い気がする。

RESTリクエストする時に使う /projects/:proj/managedZones/:hoge みたいなやつを使って resource.name == "/projects/:proj/managedZones/:hoge" みたいなこと書いても forbidden: Forbidden (Google::Cloud::PermissionDeniedError) となってそう。

https://cloud.google.com/iam/docs/conditions-overview ここに無いからそういうことはできないのかなぁ。

https://cloud.google.com/dns/docs/access-control を見てるとできそうな気もするが……？