Erfordert Autorisierung
Ruft die Richtlinien zur Zugriffssteuerung für eine Ressource ab. Kann leer sein, wenn keine entsprechenden Richtlinien oder Ressourcen vorhanden sind.
Anfrage
HTTP-Anfrage
GET https://www.googleapis.com/deploymentmanager/v2/projects/project/global/deployments/resource/getIamPolicy
Parameter
| Parametername: | Wert | Beschreibung |
|---|---|---|
| Pfadparameter | ||
project |
string |
Projekt-ID für diese Anfrage. |
resource |
string |
Name der Ressource für diese Anfrage. |
Autorisierung
Diese Anfrage erfordert Autorisierung mit mindestens einem der folgenden Bereiche (weitere Informationen zur Authentifizierung und Autorisierung).
| Bereich |
|---|
https://www.googleapis.com/auth/cloud-platform |
https://www.googleapis.com/auth/ndev.cloudman |
Antworttext
Mit dieser Methode keinen Antworttext bereitstellen.
Antwort
Bei Erfolg gibt diese Methode einen Antworttext mit der folgenden Struktur zurück:
{
"version": integer,
"bindings": [
{
"role": string,
"members": [
string
]
}
],
"auditConfigs": [
{
"service": string,
"exemptedMembers": [
string
],
"auditLogConfigs": [
{
"logType": string,
"exemptedMembers": [
string
]
}
]
}
],
"rules": [
{
"description": string,
"permissions": [
string
],
"action": string,
"ins": [
string
],
"notIns": [
string
],
"conditions": [
{
"iam": string,
"sys": string,
"svc": string,
"op": string,
"value": string,
"values": [
string
]
}
],
"logConfigs": [
{
"counter": {
"metric": string,
"field": string
}
}
]
}
],
"etag": bytes,
"iamOwned": boolean
}| Property-Name | Wert | Beschreibung | Hinweise |
|---|---|---|---|
version |
integer |
Version der "Richtlinien". Die Standardversion ist 0. |
|
bindings[] |
list |
Verbindet eine Liste von "Mitgliedern" mit einer "Rolle". Für eine "Rolle" dürfen nicht mehrere "Bindungen" festgelegt werden. "Bindungen" ohne Mitglieder ergeben einen Fehler. | |
bindings[].role |
string |
"Mitgliedern" zugewiesene Rolle. Zum Beispiel "Rollen/Betrachter", "Rollen/Betrachter", "Rollen/Editor" oder "Rollen/Eigentümer". | |
bindings[].members[] |
list |
Gibt die Identititäten an, die Zugriff auf eine Ressource der Cloud Platform anfordern. "Mitglieder" können die folgenden Werte haben: * "allUsers": Eine spezielle Kennung für alle Identitäten im Internet, ob mit oder ohne Google-Konto. * "allAuthenticatedUsers": Eine spezielle Kennung für alle Identitäten, die mit einem Google-Konto oder einem Dienstkonto authentifiziert sind. * "user:{emailid}": Eine E-Mail-Adresse, die für ein bestimmtes Google-Konto steht. Zum Beispiel "alice@gmail.com" oder "joe@example.com". * "serviceAccount:{emailid}": Eine E-Mail-Adresse, die für ein Dienstkonto steht. Zu Beispiel "my-other-app@appspot.gserviceaccount.com". * "group:{emailid}": Eine E-Mail-Adresse, die für eine Google-Gruppe steht. Zum Beispiel "admins@example.com". * "domain:{domain}": Ein Google Apps-Domain-Name, der für alle Nutzer dieser Domain steht. Zum Beispiel "google.com" oder "example.com". |
|
auditConfigs[] |
list |
Gibt Audit-Log-Konfigurationen für "data access". "data access" an: bezieht sich allgemein auf Datenlese/-schreibvorgänge und Admin-Lesevorgänge. "admin activity": bezieht sich allgemein auf Admin-Schreibvorgänge. Hinweis: "AuditConfig" gilt nicht für "admin activity", das immer Audit-Logs aktiviert. |
|
auditConfigs[].service |
string |
Gibt einen Dienst an, der für Audit-Logs aktiviert wird. Zum Beispiel ist "resourcemanager", "storage", "compute". "allService" ein spezieller Wert für alle Dienste. | |
auditConfigs[].exemptedMembers[] |
list |
Gibt die Identitäten an, die vom Audi-Logging mit "data access" für den oben angegebenen "service" ausgeschlossen sind. Entspricht dem Format von Bindungsmitgliedern. | |
auditConfigs[].auditLogConfigs[] |
list |
Die Konfiguration für jeden Typ von Protokollierung | |
auditConfigs[].auditLogConfigs[].logType |
string |
Der Protokolltyp, der von dieser Konfiguration aktiviert wird. | |
auditConfigs[].auditLogConfigs[].exemptedMembers[] |
list |
Gibt die Identitäten an, die von dieser Art Protokollierung ausgeschlossen sind. Entspricht dem Format von Bindungsmitgliedern. | |
rules[] |
list |
Wenn mehrere Regeln festgelegt sind, werden die Regeln auf folgende Weise angewendet: - Alle passenden PROTOKOLL-Regeln werden immer angewendet. - Wenn eine oder mehrere DENY/DENY_WITH_LOG-Regeln zutreffen, wird die Berechtigung verweigert. Protokollierung wird angewendet, wenn für eine oder mehrere zutreffende Regeln Protokollierung erforderlich ist. - Wenn eine oder mehrere ALLOW/ALLOW_WITH_LOG-Regeln zutreffen, wird die Berechtigung erteilt. Protokollierung wird verwendet, wenn für eine oder mehrere zutreffende Regel Protokollierung erforderlich ist. - Wenn keine Regel zutrifft,wird die Berechtigung verweigert. | |
rules[].description |
string |
Menschenlesbare Beschreibung der Regel. | |
rules[].permissions[] |
list |
Eine Berechtigung ist eine Zeichenfolge der Form ' |
|
rules[].action |
string |
Erforderlich | |
rules[].ins[] |
list |
Wenn eine oder mehrere "in"-Klauseln angegeben sind, trifft die Regel zu, wenn der PRINCIPAL/AUTHORITY_SELECTOR in mindestens einem dieser Einträge vorhanden ist. | |
rules[].notIns[] |
list |
Wenn eine oder mehrere "not_in"-Klauseln festgelegt sind, trifft die Regel zu, wenn der PRINCIPAL/AUTHORITY_SELECTOR in keinem der Einträge enthalten ist. | |
rules[].conditions[] |
list |
Weitere zu erfüllende Einschränkungen | |
rules[].conditions[].iam |
string |
Vom IAM-Systen angegebene vertrauenswürdige Attribute. | |
rules[].conditions[].sys |
string |
Vertrauenswürdige Attribute, die von einem Dienst angegeben werden, der Eigentümer von Ressourcen ist und das IAM-System für Zugriffskontrolle ist. | |
rules[].conditions[].svc |
string |
Vertrauenswürdie Attribute, die vom Dienst freigegeben werden. | |
rules[].conditions[].op |
string |
Ein Operator, mit dem das Thema angewendet wird. | |
rules[].conditions[].value |
string |
VERALTET. Stattdessen "values" verwenden. | |
rules[].conditions[].values[] |
list |
Die Objekte der Bedingung. Dies schließt sich mit "value" gegenseitig aus. | |
rules[].logConfigs[] |
list |
Die an Anrufer von "tech.iam" zurückgegebene Konfiguration.IAM.CheckPolicy für Einträge, die der LOG-Aktion entsprechen. | |
rules[].logConfigs[].counter |
nested object |
Zähleroptionen. | |
rules[].logConfigs[].counter.metric |
string |
Der zu aktualisierende Messwert. | |
rules[].logConfigs[].counter.field |
string |
Der zuzuordnende Feldwert. | |
etag |
bytes |
"etag" wird für optimistische Gleichzeitigkeitserkennung verwendet, mit der verhindert werden kann, dass sich gleichzeitige Aktualisierungen einer Richtlinie gegenseitig überschreiben. Es ist sehr zu empfehlen,dass Systeme das "etag" im Lesen-Ändern-Schreiben-Zyklus verwenden, um Richtlinienaktualisierungen durchzuführen und kritische Wettläufe zu vermeiden: Ein "etag" wird in der Antwort auf "getIamPolicy" zurückgegeben und es wird erwartet, dass Systeme dieses "etag" in die Anforderung von "setIamPolicy" aufnehmen, um sicherzustellen, dass ihre Änderung auf die gleiche Version der Richtlinien angewendet wird. Wenn kein "etag" im Aufruf von "setIamPolicy" enthalten ist, werden die vorhandenen Richtlinien blind überschrieben. |
|
iamOwned |
boolean |