Questa pagina è stata tradotta dall'API Cloud Translation.

Binding

Rappresentazione JSON
Scad
- Rappresentazione JSON

Associa members, o entità, a un role.

Rappresentazione JSON
{ "role": string, "members": [ string ], "condition": { object (`Expr`) } }

Campi

Campi
`role`	`string` Ruolo assegnato all'elenco di `members` o delle entità. Ad esempio, `roles/viewer`, `roles/editor` o `roles/owner`.
`members[]`	`string` Specifica le entità che richiedono l'accesso per una risorsa Google Cloud. `members` può avere i seguenti valori: `allUsers`: un identificatore speciale che rappresenta chiunque sia su internet, con o senza un Account Google. `allAuthenticatedUsers`: un identificatore speciale che rappresenta chiunque sia autenticato con un Account Google o un account di servizio. Non include identità provenienti da provider di identità (IdP) esterni tramite federazione delle identità. `user:{emailid}`: un indirizzo email che rappresenta un Account Google specifico. Ad esempio, `alice@example.com` . `serviceAccount:{emailid}`: un indirizzo email che rappresenta un account di servizio Google. Ad esempio, `my-other-app@appspot.gserviceaccount.com`. `serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]`: un identificatore di un account di servizio Kubernetes. Ad esempio: `my-project.svc.id.goog[my-namespace/my-kubernetes-sa]`. `group:{emailid}`: un indirizzo email che rappresenta un gruppo Google. Ad esempio, `admins@example.com`. `domain:{domain}`: il dominio G Suite (principale) che rappresenta tutti gli utenti di quel dominio. Ad esempio, `google.com` o `example.com`. `deleted:user:{emailid}?uid={uniqueid}`: un indirizzo email (più identificatore univoco) che rappresenta un utente che è stato eliminato di recente. Ad esempio, `alice@example.com?uid=123456789012345678901`. Se l'utente viene recuperato, questo valore viene ripristinato a `user:{emailid}` e l'utente recuperato mantiene il ruolo nell'associazione. `deleted:serviceAccount:{emailid}?uid={uniqueid}`: un indirizzo email (più identificatore univoco) che rappresenta un account di servizio che è stato eliminato di recente. Ad esempio, `my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901`. Se l'account di servizio non viene eliminato, questo valore viene ripristinato a `serviceAccount:{emailid}` e l'account di servizio non eliminato conserva il ruolo nell'associazione. `deleted:group:{emailid}?uid={uniqueid}`: un indirizzo email (più identificatore univoco) che rappresenta un gruppo Google che è stato eliminato di recente. Ad esempio, `admins@example.com?uid=123456789012345678901`. Se il gruppo viene recuperato, questo valore viene ripristinato a `group:{emailid}` e il gruppo recuperato mantiene il ruolo nell'associazione.
`condition`	`object (Expr)` La condizione associata a questa associazione. Se la condizione restituisce `true`, questa associazione si applica alla richiesta attuale. Se la condizione restituisce `false`, questa associazione non si applica alla richiesta attuale. Tuttavia, un'associazione di ruoli diversa potrebbe concedere lo stesso ruolo a una o più entità in questa associazione. Per sapere quali risorse supportano condizioni nei loro criteri IAM, consulta la documentazione IAM.

role

string

Ruolo assegnato all'elenco di members o delle entità. Ad esempio, roles/viewer, roles/editor o roles/owner.

members[]

string

Specifica le entità che richiedono l'accesso per una risorsa Google Cloud. members può avere i seguenti valori:

allUsers: un identificatore speciale che rappresenta chiunque sia su internet, con o senza un Account Google.
allAuthenticatedUsers: un identificatore speciale che rappresenta chiunque sia autenticato con un Account Google o un account di servizio. Non include identità provenienti da provider di identità (IdP) esterni tramite federazione delle identità.
user:{emailid}: un indirizzo email che rappresenta un Account Google specifico. Ad esempio, alice@example.com .

serviceAccount:{emailid}: un indirizzo email che rappresenta un account di servizio Google. Ad esempio, my-other-app@appspot.gserviceaccount.com.
serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: un identificatore di un account di servizio Kubernetes. Ad esempio: my-project.svc.id.goog[my-namespace/my-kubernetes-sa].
group:{emailid}: un indirizzo email che rappresenta un gruppo Google. Ad esempio, admins@example.com.

domain:{domain}: il dominio G Suite (principale) che rappresenta tutti gli utenti di quel dominio. Ad esempio, google.com o example.com.

deleted:user:{emailid}?uid={uniqueid}: un indirizzo email (più identificatore univoco) che rappresenta un utente che è stato eliminato di recente. Ad esempio, alice@example.com?uid=123456789012345678901. Se l'utente viene recuperato, questo valore viene ripristinato a user:{emailid} e l'utente recuperato mantiene il ruolo nell'associazione.
deleted:serviceAccount:{emailid}?uid={uniqueid}: un indirizzo email (più identificatore univoco) che rappresenta un account di servizio che è stato eliminato di recente. Ad esempio, my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. Se l'account di servizio non viene eliminato, questo valore viene ripristinato a serviceAccount:{emailid} e l'account di servizio non eliminato conserva il ruolo nell'associazione.
deleted:group:{emailid}?uid={uniqueid}: un indirizzo email (più identificatore univoco) che rappresenta un gruppo Google che è stato eliminato di recente. Ad esempio, admins@example.com?uid=123456789012345678901. Se il gruppo viene recuperato, questo valore viene ripristinato a group:{emailid} e il gruppo recuperato mantiene il ruolo nell'associazione.

condition

object (Expr)

La condizione associata a questa associazione.

Se la condizione restituisce true, questa associazione si applica alla richiesta attuale.

Se la condizione restituisce false, questa associazione non si applica alla richiesta attuale. Tuttavia, un'associazione di ruoli diversa potrebbe concedere lo stesso ruolo a una o più entità in questa associazione.

Per sapere quali risorse supportano condizioni nei loro criteri IAM, consulta la documentazione IAM.

Expr

Rappresenta un'espressione testuale nella sintassi CEL (Common Expression Language). CEL è un linguaggio di espressione in stile C. La sintassi e la semantica di CEL sono descritte all'indirizzo https://github.com/google/cel-spec.

Esempio (confronto):

title: "Summary size limit"
description: "Determines if a summary is less than 100 chars"
expression: "document.summary.size() < 100"

Esempio (uguaglianza):

title: "Requestor is owner"
description: "Determines if requestor is the document owner"
expression: "document.owner == request.auth.claims.email"

Esempio (logica):

title: "Public documents"
description: "Determine whether the document should be publicly visible"
expression: "document.type != 'private' && document.type != 'internal'"

Esempio (manipolazione di dati):

title: "Notification string"
description: "Create a notification string with a timestamp."
expression: "'New message received at ' + string(document.create_time)"

Le variabili e le funzioni esatte a cui si può fare riferimento in un'espressione sono determinate dal servizio che la valuta. Per ulteriori informazioni, consulta la documentazione del servizio.

Rappresentazione JSON
{ "expression": string, "title": string, "description": string, "location": string }

Campi
`expression`	`string` Rappresentazione testuale di un'espressione nella sintassi Common Expression Language.
`title`	`string` Facoltativo. Titolo dell'espressione, ovvero una breve stringa che descrive il suo scopo. Questa opzione può essere utilizzata, ad esempio, nelle UI che consentono di inserire l'espressione.
`description`	`string` Facoltativo. Descrizione dell'espressione. Si tratta di un testo più lungo che descrive l'espressione, ad esempio quando ci si passa il mouse sopra in una UI.
`location`	`string` Facoltativo. Stringa che indica la posizione dell'espressione per la segnalazione di errori, ad es. il nome di un file e una posizione nel file.