Deployments: getIamPolicy

認証が必要です

リソースのアクセス制御ポリシーを取得します。このようなポリシーまたはリソースが存在しない場合、空になります。こちらから今すぐお試しいただけます。

リクエスト

HTTP リクエスト

GET https://www.googleapis.com/deploymentmanager/v2/projects/project/global/deployments/resource/getIamPolicy

パラメータ

パラメータ名 説明
パスパラメータ
project string このリクエストのプロジェクト ID。
resource string このリクエストのリソースの名前または ID。

承認

このリクエストには、次の 1 つ以上の範囲の承認が必要です(認証と承認についてはこちらをご覧ください)。

スコープ
https://www.googleapis.com/auth/cloud-platform
https://www.googleapis.com/auth/ndev.cloudman

リクエストの本文

このメソッドにはリクエストの本文を指定しないでください。

レスポンス

成功すると、このメソッドは次の構造を含むレスポンスの本文を返します。

{
  "version": integer,
  "bindings": [
    {
      "role": string,
      "members": [
        string
      ],
      "condition": {
        "expression": string,
        "title": string,
        "description": string,
        "location": string
      }
    }
  ],
  "auditConfigs": [
    {
      "service": string,
      "exemptedMembers": [
        string
      ],
      "auditLogConfigs": [
        {
          "logType": string,
          "exemptedMembers": [
            string
          ]
        }
      ]
    }
  ],
  "rules": [
    {
      "description": string,
      "permissions": [
        string
      ],
      "action": string,
      "ins": [
        string
      ],
      "notIns": [
        string
      ],
      "conditions": [
        {
          "iam": string,
          "sys": string,
          "svc": string,
          "op": string,
          "values": [
            string
          ]
        }
      ],
      "logConfigs": [
        {
          "counter": {
            "metric": string,
            "field": string
          },
          "dataAccess": {
            "logMode": string
          },
          "cloudAudit": {
            "logName": string,
            "authorizationLoggingOptions": {
              "permissionType": string
            }
          }
        }
      ]
    }
  ],
  "etag": bytes,
  "iamOwned": boolean
}
プロパティ名 説明 メモ
version integer 非推奨。
bindings[] list 「members」のリストを「role」に関連付けます。メンバーのない「bindings」はエラーになります。
bindings[].role string 「members」に割り当てられるロール。たとえば、「roles/viewer」、「roles/editor」、「roles/owner」など。
bindings[].members[] list Cloud Platform リソースのアクセスのリクエスト元を識別する情報を指定します。「members」には次の値を指定できます。

* 「allUsers」: Google アカウントの有無にかかわらず、インターネット上のすべてのユーザーを表す特別な識別子。

* `allAuthenticatedUsers`: Google アカウントまたはサービス アカウントで認証される任意のユーザーを表す特別な識別子。

* `user:{emailid}`: 特定の Google アカウントを表すメールアドレス。例: alice@gmail.com。



* `serviceAccount:{emailid}`: サービス アカウントを表すメールアドレス。例: my-other-app@appspot.gserviceaccount.com。

* `group:{emailid}`: Google グループを表すメールアドレス。たとえば、admins@example.com です。



* `domain:{domain}`: G Suite ドメイン(プライマリ)。そのドメインのすべてのユーザーを表します。例: google.com、example.com。
auditConfigs[] list このポリシーに対する Cloud Audit Logging の監査ログを指定します。
auditConfigs[].service string 監査ログに関して有効になるサービスを指定します。たとえば、`storage.googleapis.com`、`cloudsql.googleapis.com`、`allServices` は、すべてのサービスを網羅する特殊値です。
auditConfigs[].exemptedMembers[] list

auditConfigs[].auditLogConfigs[] list 権限のタイプごとのログの構成。
auditConfigs[].auditLogConfigs[].logType string この設定で有効になるログタイプ。
auditConfigs[].auditLogConfigs[].exemptedMembers[] list このタイプの権限に対してログが発生しない ID を指定します。[Binding.members][] と同じ形式を使用します。
rules[] list 複数のルールを指定した場合、それらのルールは次のように適用されます。すべての一致 LOG ルールが常に適用されます。- いずれかの DENY/DENY_WITH_LOG ルールが一致する場合は、権限が拒否されます。1 つ以上の一致ルールでログが必要な場合は、ログが適用されます。- それ以外の場合、ALLOW/ALLOW_WITH_LOG ルールのいずれかが一致すれば、権限が付与されます。1 つ以上の一致ルールでログが必要な場合は、ログが適用されます。- それ以外の場合、適用されるルールがなければ、権限は拒否されます。
rules[].description string 人が読める形式のルールの説明。
rules[].permissions[] list 権限は、'..' という形式の文字列です(例: 'storage.buckets.list')。値 '*' はすべての権限に一致し、動詞部分 '*'(例: 'storage.buckets.*')はすべての動詞に一致します。
rules[].action string 必須
rules[].ins[] list 1 つ以上の 'in' 句が指定され、そのエントリの 1 つ以上に PRINCIPAL/AUTHORITY_SELECTOR がある場合、ルールが一致します。
rules[].notIns[] list 1 つ以上の 'not_in' 句が指定され、そのエントリのいずれにも PRINCIPAL/AUTHORITY_SELECTOR がない場合、ルールが一致します。
rules[].conditions[] list 満たされる必要がある追加の制限。ルールが一致するには、すべての条件を満たす必要があります。
rules[].conditions[].iam string IAM システムから提供される、信頼できる属性。
rules[].conditions[].sys string リソースを所有し、アクセス制御に IAM システムを使用しているサービスにより提供される信頼できる属性。
rules[].conditions[].svc string サービスにより提供される信頼できる属性。
rules[].conditions[].op string 対象に適用する演算子。
rules[].conditions[].values[] list 条件のオブジェクト。
rules[].logConfigs[] list LOG アクションに一致するすべてのエントリで tech.iam.IAM.CheckPolicy の発信者に返される構成。
rules[].logConfigs[].counter nested object カウンタ オプション。
rules[].logConfigs[].counter.metric string 更新する指標。
rules[].logConfigs[].counter.field string 該当するフィールド値。
etag bytes `etag` は、オプティミスティック同時実行制御でポリシーの同時更新による相互上書きを防ぐために使用されます。競合状態の発生を回避するため、システムのポリシー更新の読み込み・変更・書き込みサイクルで `etag` を活用することを強くお勧めします。`etag` は `getIamPolicy` へのレスポンスで返されます。その etag を `setIamPolicy` に対するリクエストに設定すれば、対応する変更が同じバージョンのポリシーに確実に適用されるようになります。

setIamPolicy の呼び出しで etag が指定されていない場合、既存のポリシーが盲目的に上書きされます。
iamOwned boolean

bindings[].condition nested object このバインディングに関連付けられている条件。注: 条件を満たさないと、ユーザーは現在のバインディングからアクセスできません。条件を含む異なるバインディングは、個別に検査されます。
bindings[].condition.expression string Common Expression Language 構文による式のテキスト表現。

それを含んでいるメッセージのアプリケーション コンテキストにより、サポートされる CEL の既知の機能セットが決まります。
bindings[].condition.title string 式のタイトル(省略可)。その目的を表す短い文字列です。たとえば、式を入力できる UI でこれを使用します。
bindings[].condition.description string 式の説明(省略可)。式を説明する長いテキストです。たとえば、UI で式にカーソルを合わせたときに表示されます。
bindings[].condition.location string エラー報告用に式の場所を示す文字列(省略可)。たとえば、ファイル名とファイル内の位置。
rules[].logConfigs[].dataAccess nested object データアクセスのオプション。
rules[].logConfigs[].dataAccess.logMode string Gin ロギングを呼び出し元でフェイルクローズ方式で行うかどうか。これは現時点では LocalIAM の実装にのみ関連します。

注: go/345 の要件を満たすために作業が行われているため、現在、Gin へのフェイルクローズ方式のロギングはサポートされていません。現在、LOG_FAIL_CLOSED モードを設定しても効果はありませんが、サポートに向けて積極的に作業が行われているため、引き続き存在します(b/115874152)。
rules[].logConfigs[].cloudAudit nested object クラウド監査オプション
rules[].logConfigs[].cloudAudit.logName string Cloud Audit レコードに入力する log_name。
rules[].logConfigs[].cloudAudit.authorizationLoggingOptions nested object Cloud Audit Logging パイプラインで使用される情報。
rules[].logConfigs[].cloudAudit.authorizationLoggingOptions.permissionType string 確認された権限のタイプ。