Deployments: getIamPolicy

Richiede l'autorizzazione

Recupera il criterio di controllo dell'accesso per una risorsa. Può essere vuoto se non esistono criteri o risorse di questo tipo. Prova subito.

Richiesta

Richiesta HTTP

GET https://www.googleapis.com/deploymentmanager/v2/projects/project/global/deployments/resource/getIamPolicy

Parametri

Nome parametro Valore Descrizione
Parametri del percorso
project string ID progetto per questa richiesta.
resource string Nome o ID della risorsa per questa richiesta.

Autorizzazione

Questa richiesta richiede l'autorizzazione con almeno uno dei seguenti ambiti (scopri di più su autenticazione e autorizzazione).

Ambito
https://www.googleapis.com/auth/cloud-platform
https://www.googleapis.com/auth/ndev.cloudman

Corpo della richiesta

Non specificare un corpo della richiesta con questo metodo.

Risposta

In caso di esito positivo, questo metodo restituisce un corpo della risposta con la seguente struttura:

{
  "version": integer,
  "bindings": [
    {
      "role": string,
      "members": [
        string
      ],
      "condition": {
        "expression": string,
        "title": string,
        "description": string,
        "location": string
      }
    }
  ],
  "auditConfigs": [
    {
      "service": string,
      "exemptedMembers": [
        string
      ],
      "auditLogConfigs": [
        {
          "logType": string,
          "exemptedMembers": [
            string
          ]
        }
      ]
    }
  ],
  "rules": [
    {
      "description": string,
      "permissions": [
        string
      ],
      "action": string,
      "ins": [
        string
      ],
      "notIns": [
        string
      ],
      "conditions": [
        {
          "iam": string,
          "sys": string,
          "svc": string,
          "op": string,
          "values": [
            string
          ]
        }
      ],
      "logConfigs": [
        {
          "counter": {
            "metric": string,
            "field": string
          },
          "dataAccess": {
            "logMode": string
          },
          "cloudAudit": {
            "logName": string,
            "authorizationLoggingOptions": {
              "permissionType": string
            }
          }
        }
      ]
    }
  ],
  "etag": bytes,
  "iamOwned": boolean
}
Nome proprietà Valore Descrizione Note
version integer Ritirato.

bindings[] list Associa un elenco di "members" a un "role". "bindings" senza membri causerà un errore.
bindings[].role string Il ruolo assegnato a "members". Ad esempio, "roles/viewer", "roles/editor" o "roles/owner".
bindings[].members[] list Specifica le identità che richiedono l'accesso per una risorsa Cloud. "members" può avere i seguenti valori:

* "allUsers": un identificatore speciale che rappresenta tutti gli utenti su internet, con o senza un Account Google.

* "allAuthenticatedUsers": un identificatore speciale che rappresenta chiunque sia autenticato con un Account Google o un account di servizio.

* `user:{emailid}`: un indirizzo email che rappresenta un Account Google specifico. Ad esempio, "alice@gmail.com".



* `serviceAccount:{emailid}`: un indirizzo email che rappresenta un service account. Ad esempio, "la-mia-altra-app@appspot.gserviceaccount.com".

* "group:{emailid}": un indirizzo email che rappresenta un gruppo Google. Ad esempio, "admins@example.com".



* "domain:{domain}": il dominio G Suite (principale) che rappresenta tutti gli utenti di quel dominio. Ad esempio, "google.com" o "example.com".







auditConfigs[] list Specifica la configurazione dell'audit logging di Cloud per questo criterio.

auditConfigs[].service string Specifica un servizio che verrà attivato per l'audit logging. Ad esempio, "storage.googleapis.com", "cloudsql.googleapis.com". "allServices" è un valore speciale che copre tutti i servizi.
auditConfigs[].exemptedMembers[] list

auditConfigs[].auditLogConfigs[] list La configurazione per la registrazione di ogni tipo di autorizzazione.
auditConfigs[].auditLogConfigs[].logType string Il tipo di log abilitato da questa configurazione.
auditConfigs[].auditLogConfigs[].exemptedMembers[] list Specifica le identità che non generano log per questo tipo di autorizzazione. Segue lo stesso formato di [Binding.members][].
rules[] list Se viene specificata più di una regola, le regole vengono applicate nel seguente modo: - Tutte le regole LOG corrispondenti vengono sempre applicate. - Se una regola DENY/DENY_WITH_LOG corrisponde, l'autorizzazione viene negata. Il logging verrà applicato se una o più regole corrispondenti richiedono il logging. - In caso contrario, se una regola ALLOW/ALLOW_WITH_LOG corrisponde, l'autorizzazione viene concessa. Il logging verrà applicato se una o più regole corrispondenti richiedono il logging. In caso contrario, se non viene applicata alcuna regola, l'autorizzazione viene negata.
rules[].description string Descrizione leggibile della regola.
rules[].permissions[] list Un'autorizzazione è una stringa del tipo ".." (ad es. 'storage.buckets.list'). Un valore "*" corrisponde a tutte le autorizzazioni e una parte del verbo "*" (ad es. "storage.buckets.*" corrisponde a tutti i verbi.

rules[].action string Obbligatorio
rules[].ins[] list Se vengono specificate una o più clausole "in", la regola corrisponde se PRINCIPAL/AUTHORITY_SELECTOR è presente in almeno una di queste voci.
rules[].notIns[] list Se vengono specificate una o più clausole "not_in", la regola corrisponde se PRINCIPAL/AUTHORITY_SELECTOR non è presente in nessuna delle voci.
rules[].conditions[] list Ulteriori limitazioni che devono essere soddisfatte. Affinché la regola corrisponda, tutte le condizioni devono essere soddisfatte.
rules[].conditions[].iam string Attributi attendibili forniti dal sistema IAM.
rules[].conditions[].sys string Attributi attendibili forniti da qualsiasi servizio che possiede risorse e utilizza il sistema IAM per il controllo dell'accesso.
rules[].conditions[].svc string Attributi attendibili scaricati dal servizio.
rules[].conditions[].op string Un operatore con cui applicare l'oggetto.
rules[].conditions[].values[] list Gli oggetti della condizione.
rules[].logConfigs[] list La configurazione restituita agli utenti che chiamano tech.iam.IAM.CheckPolicy per eventuali voci corrispondenti all'azione LOG.
rules[].logConfigs[].counter nested object Opzioni contatore.
rules[].logConfigs[].counter.metric string La metrica da aggiornare.
rules[].logConfigs[].counter.field string Il valore del campo da attribuire.
etag bytes "etag" viene utilizzato per il controllo della concorrenza ottimistico per contribuire a evitare che gli aggiornamenti simultanei di un criterio si sovrascrivano a vicenda. È vivamente consigliato che i sistemi utilizzino l'elemento "etag" nel ciclo di lettura, modifica e scrittura per eseguire aggiornamenti dei criteri al fine di evitare condizioni di gara: un "etag" viene restituito nella risposta a "getIamPolicy" e i sistemi devono inserire questo etag nella richiesta a "setIamPolicy" per assicurarsi che la modifica venga applicata alla stessa versione del criterio.

Se non viene fornito alcun valore "etag" nella chiamata a "setIamPolicy", il criterio esistente viene sovrascritto in modo non controllato.
iamOwned boolean

bindings[].condition nested object La condizione associata a questa associazione. NOTA: una condizione non soddisfatta non consente l'accesso dell'utente tramite il vincolo corrente. Le associazioni diverse, incluse le relative condizioni, vengono esaminate in modo indipendente.
bindings[].condition.expression string Rappresentazione testuale di un'espressione nella sintassi di Common Expression Language.

Il contesto dell'applicazione del messaggio contenente determina l'insieme di funzionalità ben note del CEL supportato.
bindings[].condition.title string Un titolo facoltativo per l'espressione, ovvero una breve stringa che ne descrive lo scopo. Può essere utilizzato, ad esempio, nelle UI che consentono di inserire l'espressione.
bindings[].condition.description string Una descrizione facoltativa dell'espressione. Si tratta di un testo più lungo che descrive l'espressione, ad esempio quando si passa il mouse sopra l'espressione in un'interfaccia utente.
bindings[].condition.location string Una stringa facoltativa che indica la posizione dell'espressione per la generazione di report sugli errori, ad esempio un nome file e una posizione nel file.
rules[].logConfigs[].dataAccess nested object Opzioni di accesso ai dati.
rules[].logConfigs[].dataAccess.logMode string Indica se la registrazione di Gin deve avvenire in modo fail-closed nel chiamante. Per il momento, questo è rilevante solo nell'implementazione di LocalIAM.

NOTA: la registrazione in Gin in modo fail-closed non è attualmente supportata mentre è in corso il lavoro per soddisfare i requisiti di go/345. Al momento, l'impostazione della modalità LOG_FAIL_CLOSED non ha alcun effetto, ma esiste ancora perché sono in corso attività per supportarla (b/115874152).
rules[].logConfigs[].cloudAudit nested object Opzioni di controllo di Cloud.
rules[].logConfigs[].cloudAudit.logName string Il nome log da compilare nel record di controllo Cloud.

rules[].logConfigs[].cloudAudit.authorizationLoggingOptions nested object Informazioni utilizzate dalla pipeline di Cloud Audit Logging.
rules[].logConfigs[].cloudAudit.authorizationLoggingOptions.permissionType string Il tipo di autorizzazione controllata.

Prova

Utilizza l'Explorer API di seguito per chiamare questo metodo sui dati in tempo reale e visualizzare la risposta. In alternativa, prova lo strumento di esplorazione autonomo.